锐捷网络关于交换/无线部分产品WEB管理系统存在命令越权执行漏洞的通告

近日，某网络安全单位报告锐捷交换及无线产品部分版本存在命令执行漏洞。详细情况如下：

一、漏洞说明

锐捷部分交换/无线产品Eweb管理系统存在越权漏洞，普通管理员帐号可利用前端代码越权登入控制台，修改设备登入密码，对设备正常管理造成影响。

二、影响范围

1、涉及软件版本：

• 涉及交换机版本：S29_RGOS11.4(1)B42P1及之前版本

• 涉及无线AC版本：AC_RGOS 11.9(2)B1及之前版本

2、涉及产品型号：

• 涉及交换机型号： S29XS系列产品

• 涉及无线AC型号：M8600E-WS-ED

三、漏洞定级

按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义，此漏洞等级为“中”。

四、漏洞解决方案

1、将S29XS系列交换机升级至以下版本解决：

• 升级至S29_RGOS11.4(1)B42P1T1及以后的版本

 2、将M8600E-WS-ED无线AC升级至以下版本解决：

• 升级至AC_RGOS 11.9(2)B2及以后的版本；

五、规避方案

删除普通员账号或关闭WEB。

1、关闭WEB命令：no enable service web-server all

2、删除普通管理员帐号，只留admin管理员账号。如删除普通管理员test：no webmaster username test

六、后续改善计划

锐捷网络会持续进行此漏洞的升级修复，第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复，同时，请您关注锐捷网络的官网、官微的公告内容，有任何关于此次漏洞修复的问题，可以通过以下方式联系我们：

锐捷售前咨询热线：4006-208-818

锐捷售后咨询热线：4008-111-000

锐捷网络官网：www.ruijie.com.cn

锐捷睿易官网：www.ruijiery.com