一、基本情况

Cisco IOS（Internetwork Operating System，简称IOS）是思科公司（Cisco System）为其网络设备开发的操作维护系统。IOS XE是思科IOS操作系统的一种，Cisco IOS XE Web UI 是一种基于 GUI 的嵌入式系统管理工具，能够提供系统配置、简化系统部署和可管理性，并增强用户体验。

二、漏洞描述

CVE-2023-20198：Cisco IOS XE Web UI权限提升漏洞（严重）

Cisco IOS XE软件的 Web UI 功能中存在漏洞，当暴露于互联网或不受信任的网络时，未经身份验证的远程威胁者可利用该漏洞创建具有15级访问权限的账户，并使用该账户来控制受影响的系统。该漏洞的CVSSv3评分为10.0，影响启用了 Web UI 功能的Cisco IOS XE 软件。

CVE-2023-20273：Cisco IOS XE Web UI命令注入漏洞（高危）

Cisco IOS XE软件的 Web UI 功能中存在漏洞，当暴露于互联网或不受信任的网络时，使用本地账户的威胁者可利用该漏洞在受影响设备中注入具有提升（即 root）权限的命令，该漏洞的CVSSv3评分为7.2。

三、影响范围

Cisco IOS XE软件版本系列（启用了 Web UI 功能）：

17.9

17.6

17.3

16.12（仅限 Catalyst 3650 和 3850）

四、修复建议

目前这些漏洞已经修复，受影响用户可升级到以下Cisco IOS XE软件固定版本：

17.9：升级到17.9.4a（可用）

17.6：升级到17.6.6a

17.3：升级到17.3.8a

16.12（仅限 Catalyst 3650 和 3850）：升级到16.12.10a

如需帮助，请联系网络信息与现代教育技术中心。