发布时间:2021-06-25
最新更新时间:2021-11-18
近日收到CNVD(国家信息安全漏洞共享平台)通报我司网关部分产品的EWEB管理系统存在文件上传漏洞,CNVD临时编号为CNVD-C-2021-30631、CNVD-C-2021-117469,CNVD-C-2021-200131 CNVD正式编号为CNVD-2021-39065。问题表现为:攻击者在获取设备登陆权限的前提下,可以通过修改参数上传恶意文件。
一、漏洞描述
部分型号的易网关WEB管理系统存在文件上传漏洞,攻击者掌握设备账户密码的情况下,成功登陆设备后可以修改文件上传参数,从而上传恶意文件。
二、影响范围
受该漏洞影响的产品型号与软件版本如下:
|
受影响产品型号 |
受影响软件版本 |
|
|
EG系列 |
EG350 |
RGOS11.1(6)B3P4及之前版本 |
|
EG2000K |
||
|
EG2000L |
||
|
NBR系列 |
NBR2500D-E |
|
|
NBR3000D-E |
||
|
NBR2100G-E |
||
|
NBR1700G-E |
||
|
NBR1300G-E |
||
三、漏洞定级
该风险仅在设备登陆账户密码被攻击者掌握的前提下才会发生,若及时修改默认账号弱口令或禁止WEB访问,可规避该风险。按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义,此漏洞等级为“中危”。
四、漏洞规避方案
1、修改web界面超级管理员认证的密码,并具备复杂度,不易被攻击者破解:
2、设置管理主机,禁止非设备管理用户登录设备WEB系统(如下图添加管理主机限制配置):
五、漏洞解决方案
请用户及时下载版本,升级系统,修复漏洞。
|
产品型号 |
修复版本 |
|
|
EG系列 |
EG350 |
RGOS11.1(6)B4P8 下载链接:https://www.ruijie.com.cn/fw/rj-cp-egxwl/ |
|
EG2000K |
RGOS11.9(6)B13P1 或者联系400下载 下载链接: EG系列: https://www.ruijie.com.cn/fw/rj-first-2348/ NBR系列:https://www.ruijie.com.cn/fw/rj-first-2357/
|
|
|
EG2000L |
||
|
NBR系列 |
NBR2500D-E |
|
|
NBR3000D-E |
||
|
NBR2100G-E |
||
|
NBR1700G-E |
||
|
NBR1300G-E |
||
六、后续改善计划
锐捷网络会持续跟进该漏洞的最新动态,请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
文档评价
