0x01 漏洞介绍
锐捷网络是数据通信解决方案品牌。近日,锐捷官方通报锐捷网络安全产品部分型号软件版本存在远程命令执行漏洞(信息编号:CNVD-C-2021-190799、CNVD-C-2021-190759、CNVD-C-2021-138948),攻击者可利用该漏洞非法获得设备控制权限。
RG-UAC 6000系列统一上网行为管理与审计系统产品在连接互联网后,攻击者利用"reporter组件存在远程命令执行漏洞”获取设备控制权限,执行非法操作。
0x03 漏洞编号
CNVD-C-2021-190799
CNVD-C-2021-190759
CNVD-C-2021-138948
0x04 漏洞等级
漏洞等级:高危 | 7.2
0x05 影响范围
涉及产品型号与软件版本:
|
产品型号 |
软件版本 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0x06 漏洞修复方案
临时规避方案:
设置管理主机,禁止非设备管理用户登录设备WEB系统(如下图添加管理主机限制配置):
漏洞解决方案:
针对解决该漏洞升级对应平台的软件版本,版本号:
UAC_64位系列:V1.0-R2.1.7.p1-27425-20210730及之后版本,版本文件下载地址:https://www.ruijie.com.cn/fw/rj/59078/
ISG系列:ISG-V1.0-R1.1.5.p5_20210816及之后版本,版本文件下载地址:https://www.ruijie.com.cn/fw/rj/60782/
0x07 参考链接
https://www.ruijie.com.cn/gy/xw-aqtg-gw/87643/
本文始发于微信公众号(锋刃科技):【漏洞情报】锐捷网络安全产品部分型号版本存在远程命令执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论