关于网关EG&NBR部分产品EWEB管理系统存在文件上传漏洞的情况通告

今天收到锐捷网络收到CNVD（国家信息安全漏洞共享平台）通报我司网关部分产品的EWEB管理系统存在文件上传漏洞，CNVD正式编号为CNVD-2021-29188。问题表现为：攻击者利用该漏洞成功登陆设备后构造恶意请求，取得服务器控制权。建议您通过官网下载主程序进行漏洞修复，给您带来工作上的不便，致以深深的歉意。

一、漏洞说明

锐捷部分网关产品Eweb管理系统存在文件上传漏洞，部分型号的网关WEB管理系统存在文件上传漏洞，攻击者利用该漏洞成功登陆设备后构造恶意请求，取得服务器控制权。

二、影响范围

1、涉及软件版本：

11.9(1)B11以后(含11.9(1)B11)，11.9(4)B12P1以前版本（含11.9(4)B12P1）存在此问题

注：11.9(4)B12P1以后发布的版本都不受该漏洞影响。

2、涉及产品型号：

三、漏洞定级

该风险在设备开启eweb登录权限后，攻击者可通过特殊的方式获取到设备的特权权限。按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义，此漏洞等级为“高危”。

四、漏洞规避方案

1.限定内外网访问设备WEB页面（管理员除外）：

CLI：

Config

control-plane

security deny lan-web 

security deny wan-web

security web permit 172.18.137.167（172.18.137.167此处设置为管理ip）

2. 修改密码，使用强密码 

五、漏洞解决方案

登陆官网或MACC诺客云升级到最新11.9(6)B13P1及以上版本解决（如果旧版本升级新版本建议修改密码）。

版本下载链接：https://www.ruijie.com.cn/fw/rj-first-2348/

六、后续改善计划

锐捷网络会持续进行此漏洞的升级修复，第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复，同时，请您关注锐捷网络的官网、官微的公告内容，有任何关于此次漏洞修复的问题，可以通过以下方式联系我们：

锐捷售前咨询热线：4006-208-818

锐捷售后咨询热线：4008-111-000

锐捷睿易咨询热线：4001-000-078

锐捷网络官网：www.ruijie.com.cn