关于网关部分产品EWEB管理系统存在文件上传漏洞的情况通报

发布时间：2021-06-25

最新更新时间：2021-11-18

近日收到CNVD（国家信息安全漏洞共享平台）通报我司网关部分产品的EWEB管理系统存在文件上传漏洞，CNVD临时编号为CNVD-C-2021-30631、CNVD-C-2021-117469，CNVD-C-2021-200131 CNVD正式编号为CNVD-2021-39065。问题表现为：攻击者在获取设备登陆权限的前提下，可以通过修改参数上传恶意文件。

一、漏洞描述

部分型号的易网关WEB管理系统存在文件上传漏洞，攻击者掌握设备账户密码的情况下，成功登陆设备后可以修改文件上传参数，从而上传恶意文件。

二、影响范围

受该漏洞影响的产品型号与软件版本如下：

受影响产品型号		受影响软件版本
EG系列	EG350	RGOS11.1(6)B3P4及之前版本
	EG2000K
	EG2000L
NBR系列	NBR2500D-E
	NBR3000D-E
	NBR2100G-E
	NBR1700G-E
	NBR1300G-E

三、漏洞定级

该风险仅在设备登陆账户密码被攻击者掌握的前提下才会发生，若及时修改默认账号弱口令或禁止WEB访问，可规避该风险。按照《GBT 30279-2013 信息安全技术安全漏洞等级划分指南.pdf》定义，此漏洞等级为“中危”。

四、漏洞规避方案

1、修改web界面超级管理员认证的密码，并具备复杂度，不易被攻击者破解：

2、设置管理主机，禁止非设备管理用户登录设备WEB系统（如下图添加管理主机限制配置）：

五、漏洞解决方案

请用户及时下载版本，升级系统，修复漏洞。

产品型号		修复版本
EG系列	EG350	RGOS11.1(6)B4P8 下载链接：https://www.ruijie.com.cn/fw/rj-cp-egxwl/
	EG2000K	RGOS11.9(6)B13P1 或者联系400下载下载链接： EG系列: https://www.ruijie.com.cn/fw/rj-first-2348/ NBR系列：https://www.ruijie.com.cn/fw/rj-first-2357/
	EG2000L
NBR系列	NBR2500D-E
	NBR3000D-E
	NBR2100G-E
	NBR1700G-E
	NBR1300G-E