交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
近期,CNVD通告我司WS6008/RAC128 的EWEB系统存在命令执行漏洞,编号分别为:CNVD-C-2021-137797,CNVD-C-2021-137790,CNVD-C-2021-137192。问题表现为:攻击者在获取设备登陆权限的前提下,可以通过在参数中注入命令执行。
一、漏洞说明
由于WS6008/RAC128产品的web系统参数校验不严格,导致可注入命令执行。攻击者在获取设备登陆权限(掌握账户密码)的前提下,可以通过篡改参数注入命令执行。
二、影响范围
涉及产品型号、软件版本:
产品型号 |
软件版本 |
RG-WS6008 |
AC_RGOS 11.1(5)B9P11及之前版本 |
RG-RAC128 |
AC_RGOS 11.1(5)B29及之前版本 |
三、漏洞定级
只有在攻击者掌握设备登陆密码,该风险才会存在。因此,按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义,此漏洞等级为“中危”。
四、漏洞规避方案
1、用户修改弱口令,密码强度建议必须包含大小写字母、数字、特殊符号至少三种以上且长度8位以上。
2、设置管理控制白名单,只允许特定的IP访问该设备的web系统。
五、漏洞解决方案
目前,我司已发布漏洞修复解决方案,用户可通过下载升级解决该漏洞。
产品型号 |
漏洞修复版本 |
RG-WS6008 |
AC_RGOS 11.9及之后的版本 |
RG-RAC128 |
AC_RGOS 11.1(5)B30及之后的版本 |
六、后续改善计划
锐捷网络会持续进行此漏洞的升级修复,第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复,同时,请您关注锐捷网络的官网、官微的公告内容,有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
锐捷网络股份有限公司
2021年7月2日