您订阅的产品有更新,请及时查阅
查看详情您订阅的产品有更新,请及时查阅
查看详情
发布时间:2023-08-02
最新更新时间:2023-08-02
近期,CNVD通告我司部分无线产品的EWEB系统存在命令执行漏洞,编号分别为:CNVD-C-2021-172106 / CNVD-C-2021-172108/ CNVD-C-2021-172113。问题表现为:攻击者在获取设备登陆权限的前提下,可以利用该漏洞对设备实施恶意操作。
一、漏洞说明
攻击者在获取设备登陆权限(掌握账户密码)的前提下,恶意攻击存在漏洞的设备,由于部分WLAN产品的web系统参数校验不严格,导致可以执行内部命令,还可以删除或修改系统文件或者导致设备重启。
二、影响范围
涉及产品型号、软件版本:
|
产品型号 |
软件版本 |
|
RG-WS6108 RG-WS6008 RG-WS6812 RG-WS6816 RG-WS6512 RG-WS7880 RG-M8600E-WS-ED RG-M18000-WS-ED |
AC_RGOS 11.9(2)B2P9及之前版本 |
|
AP180 AP180-A AP180-L AP180-L-A AP680(CD) AP820-A AP820-L AP820-AR AP850(AR) AP840-I AP850-I AP860-I AP880(TR) |
AP_RGOS 11.9(6)W1B1之前的版本
|
三、漏洞定级
只有在攻击者掌握设备登陆密码,该风险才会存在。因此
CVSS3.1基础得分:6.7
风险等级:中危(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)
四、漏洞规避方案
1、用户修改弱口令,密码强度建议必须包含大小写字母、数字、特殊符号至少三种以上且长度8位以上。
2、设置管理控制白名单,只允许特定的IP访问该设备的web系统。
五、漏洞解决方案
目前,我司已发布漏洞修复解决方案,用户可通过下载升级解决该漏洞。
|
产品型号 |
漏洞修复版本 |
|
RG-WS6108 RG-WS6008 RG-WS6812 RG-WS6816 RG-WS6512 RG-WS7880 RG-M8600E-WS-ED RG-M18000-WS-ED |
AP_RGOS 11.9(6)W3B1及之后的版本 |
|
AP180 AP180-A AP180-L AP180-L-A AP680(CD) AP820-A AP820-L AP820-AR AP850(AR) AP840-I AP850-I AP860-I AP880(TR) |
AP_RGOS 11.9(6)W3B1及之后的版本 |
六、后续改善计划
锐捷网络会持续进行此漏洞的升级修复,第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复,同时,请您关注锐捷网络的官网、官微的公告内容,有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷网络官网:www.ruijie.com.cn
七、更新记录
|
日期 |
发布&修订情况 |
|
2021年12月2日 |
首次发布 |
|
2023年8月1日 |
更新产品信息 |
锐捷网络股份有限公司
2023年8月1日
文档评价
