通知公告

关于锐捷网络多个系列产品命令注入漏洞的预警通报
发布日期:2023-07-30 16:33 浏览量:

锐捷网络多个系列产品命令注入漏洞,漏洞编号:CVE-2023-38902,漏洞风险等级:高危。

锐捷多个系列产品在/usr/sbin/unifyframe-sgi.elf文件中存在命令注入漏洞(CVE-2023-38902),经过身份验证的威胁者可向/cgi-bin/luci/api/cmd发送POST请求,通过remoteIp字段注入命令,成功利用该漏洞可能导致在设备上执行任意命令。

(一)漏洞影响范围:

RG-EW系列路由器和中继器固件版本:EW_3.0(1)B11P219

RG-NBS和RG-S1930系列交换机固件版本:SWITCH_3.0(1)B11P219

RG-EG系列商业VPN路由器固件版本:EG_3.0(1)B11P219

RG-EAP和RG-RAP系列无线 AP 固件版本:AP_3.0(1)B11P219

RG-NBC系列无线控制器固件版本:AC_3.0(1)B11P219

(二)漏洞修复建议:

一是建议将管理页面放进内网,禁止外部访问;

二是修改默认口令,设置为高强度密码口令,加强系统访问控制,拦截恶意执行的命令;

三是加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度;四是建议用户留意官方公告,及时升级到最新版本:https://www.ruijie.com.cn/fw/rj-first-2357。