发布时间:2021-07-09
最新更新时间:2021-07-09
近日,CNVD报告我司BCR810W/BCR860路由器的BCOS系统存在命令执行漏洞(CNVD-2021-36237)。问题表现为:攻击者在获取设备登陆权限的前提下,可以通过在参数中注入命令执行。
一、漏洞说明
攻击者访问BCOS的web管理系统,在用户设备登陆账户密码的前提下,可以通过篡改参数注入命令执行。
二、影响范围
涉及产品型号、软件版本:
|
产品型号 |
软件版本 |
说明 |
|
BCR810W/BCR860 |
BCOS2.5.13 |
|
三、漏洞定级
只有在攻击者掌握设备登陆密码,并且用户把BCOS端口开放映射到互联网的前提下,该风险才会存在。因此,按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义,此漏洞等级为“低危”。
四、漏洞规避方案
1、关闭设备外网访问功能。方法:登录设备管理页面,找到详细配置->网络安全->运行外网登录WEB,将开关关闭并确定保存。如下图:
五、漏洞解决方案
目前,我司已发布漏洞修复解决方案,用户可通过下载升级解决该漏洞。
|
产品型号 |
漏洞修复版本 |
说明 |
|
BCR810W/BCR860 |
BCOS2.5.15 |
|
六、后续改善计划
锐捷网络会持续进行此漏洞的升级修复,第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复,同时,请您关注锐捷网络的官网、官微的公告内容,有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
锐捷网络股份有限公司
2021年6月28日
