锐捷网络关于安全产品部分型号版本存在权限绕行的通告

< 返回主菜单

产品中心

产品

交换机

交换机所有产品

< 返回产品

交换机主页

交换机

园区网交换机

园区网交换机所有产品

数据中心与云计算交换机

数据中心与云计算交换机所有产品

行业精选交换系列

行业精选交换系列所有产品

工业交换机

工业交换机所有产品

SDN

SDN所有产品

配件

配件所有产品

所有技术解决方案

路由器

路由器所有产品

< 返回产品

路由器主页

路由器

核心路由器

核心路由器所有产品

汇聚路由器

汇聚路由器所有产品

接入路由器

接入路由器所有产品

移动路由器

移动路由器所有产品

行业精选路由器系列

行业精选路由器系列所有产品

所有技术解决方案

无线

无线所有产品

< 返回产品

无线主页

无线

放装型无线接入点

放装型无线接入点所有产品

墙面型无线接入点

墙面型无线接入点所有产品

智分无线接入点

智分无线接入点所有产品

室外无线接入点

室外无线接入点所有产品

场景化无线

场景化无线所有产品

无线控制器

无线控制器所有产品

行业精选无线系列

行业精选无线系列所有产品

无线管理与应用

无线管理与应用所有产品

所有技术解决方案

云桌面

云桌面产品方案中心

< 返回产品

云桌面主页

云桌面

云终端系列

云终端系列所有产品

查看云终端选型指导

云主机系列

云主机系列所有产品

云桌面软件系列

云桌面软件系列所有产品

配件系列

配件系列所有产品

所有技术解决方案

安全

安全所有产品

< 返回产品

安全主页

安全

大数据安全平台

大数据安全平台所有产品

下一代防火墙

下一代防火墙所有产品

安全网关

安全网关所有产品

检测管理安全

检测管理安全所有产品

安全服务

安全服务所有产品

安全云

安全云所有产品

所有技术解决方案

软件

软件所有产品

< 返回产品

软件主页

软件

网络管控产品

网络管控产品所有产品

IT运维产品

IT运维产品所有产品

所有技术解决方案

身份管理

身份管理所有产品

< 返回产品

身份管理主页

身份管理

安全管理系列

安全管理系列所有产品

运营管理系列

运营管理系列所有产品

身份中台

身份中台所有产品

所有技术解决方案

服务产品

服务产品所有产品

< 返回产品

服务产品主页

服务产品

基础实施服务

基础实施服务所有产品

基础维护服务

基础维护服务所有产品

运维管理服务

运维管理服务所有产品

整网服务

整网服务所有产品

安全服务

安全服务所有产品

备件与扩容服务

备件与扩容服务所有产品

培训与认证服务

培训与认证服务所有产品

官方商城

锐捷睿易

体验中心

布尔实验室

网络研讨会

锐捷网络关于安全产品部分型号版本存在权限绕行的通告

发布时间：2020-10-13

最新更新时间：2020-10-13

近日，锐捷网络在对产品进行自查过程中，发现部分安全产品存在权限绕行漏洞，可获取到系统的最高管理权限，详细情况如下：

一、漏洞说明

RG-PowerCache系列产品内置组件存在漏洞，该漏洞可被攻击者利用，绕过系统的身份验证、权限管理等功能，实现对系统的全面控制。

二、影响范围

涉及产品型号与软件版本：

产品型号	软件版本
RG-PowerCache G4	v8.0-R3.1.p0-20200428（及之前）
RG-PowerCache G12
RG-PowerCache G24
RG-PowerCache X5E
RG-PowerCache X10E

三、漏洞定级

该漏洞需要基于设备的WEB访问功能进行利用，若HTTP/HTTPS登录访问被阻止，则不存在该风险。

按照《GB/T 30279-2013 信息安全技术安全漏洞等级划分指南》定义，此漏洞等级为“中危”。即：可远程操作、利用方式复杂，不易形成大规模攻击。

四、漏洞规避方案

1、在外网以及其他设备上，禁止外部IP对设备的管理地址访问；

2、设置管理主机，禁止非设备管理用户登录设备WEB系统（如下图添加管理主机限制配置，添加后仅有在列表中的IP可以对设备进行管理）：

五、漏洞解决方案

该漏洞将合并在后续版本中解决，新版本发布前先参考规避方案解决。

六、后续改善计划

锐捷网络会持续跟进该漏洞的最新动态，请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题，可以通过以下方式联系我们：
锐捷售前咨询热线：4006-208-818
锐捷售后咨询热线：4008-111-000
锐捷睿易咨询热线：4001-000-078
锐捷网络官网：www.ruijie.com.cn