发布时间:2020-10-13
最新更新时间:2020-10-13
近日,锐捷网络在对产品进行自查过程中,发现部分安全产品存在权限绕行漏洞,可获取到系统的最高管理权限,详细情况如下:
一、漏洞说明
RG-PowerCache系列产品内置组件存在漏洞,该漏洞可被攻击者利用,绕过系统的身份验证、权限管理等功能,实现对系统的全面控制。
二、影响范围
涉及产品型号与软件版本:
| 产品型号 | 软件版本 |
| RG-PowerCache G4 | v8.0-R3.1.p0-20200428(及之前) |
| RG-PowerCache G12 | |
| RG-PowerCache G24 | |
| RG-PowerCache X5E | |
| RG-PowerCache X10E |
三、漏洞定级
该漏洞需要基于设备的WEB访问功能进行利用,若HTTP/HTTPS登录访问被阻止,则不存在该风险。
按照《GB/T 30279-2013 信息安全技术安全漏洞等级划分指南》定义,此漏洞等级为“中危”。即:可远程操作、利用方式复杂,不易形成大规模攻击。
四、漏洞规避方案
1、在外网以及其他设备上,禁止外部IP对设备的管理地址访问;
2、设置管理主机,禁止非设备管理用户登录设备WEB系统(如下图添加管理主机限制配置,添加后仅有在列表中的IP可以对设备进行管理):
五、漏洞解决方案
该漏洞将合并在后续版本中解决,新版本发布前先参考规避方案解决。
六、后续改善计划
锐捷网络会持续跟进该漏洞的最新动态,请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
