锐捷网络关于安全产品部分型号版本存在远程命令执行漏洞的通告

近日，有关平台报告（信息编号：CNVD-C-2021-190799、CNVD-C-2021-190759、CNVD-C-2021-138948）锐捷网络安全产品部分型号软件版本存在远程命令执行漏洞，攻击者可利用该漏洞非法获得设备控制权限。详细情况如下： 

一、漏洞说明

RG-UAC 6000系列统一上网行为管理与审计系统产品在连接互联网后，攻击者利用"reporter组件存在远程命令执行漏洞”获取设备控制权限，执行非法操作。

二、影响范围

涉及产品型号与软件版本：

三、漏洞定级

该风险可在设备WEB页面通过远程登录环境下发生。按照《GBT 30279-2013 信息安全技术安全漏洞等级划分指南》定义，此漏洞等级为“高危”。即：可远程操作。

四、漏洞规避方案

设置管理主机，禁止非设备管理用户登录设备WEB系统（如下图添加管理主机限制配置）：

五、漏洞解决方案

针对解决该漏洞升级对应平台的软件版本，版本号：

UAC_64位系列：V1.0-R2.1.7.p1-27425-20210730及之后版本，版本文件下载地址：https://www.ruijie.com.cn/fw/rj/59078/

ISG系列：ISG-V1.0-R1.1.5.p5_20210816及之后版本，版本文件下载地址：https://www.ruijie.com.cn/fw/rj/60782/

六、后续改善计划

锐捷网络会持续跟进该漏洞的最新动态，请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题，可以通过以下方式联系我们：

锐捷售前咨询热线：4006-208-818

锐捷售后咨询热线：4008-111-000

锐捷睿易咨询热线：4001-000-078

锐捷网络官网：www.ruijie.com.cn