发布时间:2023-08-28
最新更新时间:2023-08-28
一、漏洞概述
锐捷部分睿易产品的EWEB系统存在命令注入漏洞,攻击者在获取设备WEB管理员密码的前提下,成功利用该漏洞可能导致攻击者获得更高的权限。【漏洞编号:RJPSIRT-2023-08280】
此漏洞已经分配了(CVE)ID:CVE-2023-38902
二、版本和修复方案
|
产品型号 |
受影响版本 |
修复版本 |
|
睿易NBS3/5/6/7系列 |
SWITCH_3.0(1)B11P230之前的版本 |
SWITCH_3.0(1)B11P230及之后版本 |
|
睿易EG系列 |
EG_3.0(1)B11P230之前的版本 |
EG_3.0(1)B11P230及之后版本 |
|
睿易EAP/RAP/NBC系列 |
AP_3.0(1)B11P230之前的版本 |
AP_3.0(1)B11P230及之后版本 |
|
星耀EW系列 |
EW_3.0(1)B11P219及之前的版本 |
EW_3.0(1)B11P219之后版本 |
版本获取方式:
1. 支持自动更新的设备会收到系统更新提示,用户通过执行系统更新,完成对漏洞的修复。
2. 通过锐捷官方网站下载获取
3. 联系当地售后人员获取
三、漏洞评分
漏洞使用CVSSv3.1计分系统进行评分,评分标准请参考https://www.first.org/cvss/v3.1/specification-document。
CVSS3.1基础得分:7.2
风险等级:高危(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H )
四、规避措施
1、建议用户修改web系统管理口令,密码强度建议包含大小写字母、数字、特殊符号至少三种以上且长度8位以上。
2、设置管理控制白名单,只允许特定IP登陆设备web系统。
五、漏洞来源
该漏洞由锐捷内部测试发现。
六、更新记录
|
时间 |
更新记录 |
|
2023-08-28 |
首次发布 |
七、联系我们
锐捷一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
1、获取锐捷产品漏洞信息,请访问:https://www.ruijie.com.cn/psirt/
2、反馈锐捷安全问题,请反馈至锐捷PSIRT邮箱:PSIRT@ruijie.com.cn。
详情参考:
https://www.ruijie.com.cn/psirt/report-vulnerabilities/
3、其他联系方式:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
睿易产品咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
锐捷网络股份有限公司
2023年08月28日
文档评价
