产品中心

< 返回主菜单

产品

交换机

交换机所有产品

< 返回产品

交换机

园区网交换机

数据中心与云计算交换机

行业精选交换系列

工业交换机

意图网络指挥官

SDN

配件

查看交换机首页 >

所有技术解决方案

路由器

路由器所有产品

< 返回产品

路由器

核心路由器

汇聚路由器

接入路由器

移动路由器

路由器应用软件

行业精选路由器系列

查看路由器首页 >

所有技术解决方案

无线

无线所有产品

< 返回产品

无线

放装型无线接入点

墙面型无线接入点

智分无线接入点

室外无线接入点

场景化无线

无线控制器

行业精选无线系列

无线管理与应用

查看无线首页 >

所有技术解决方案

云桌面

云桌面产品方案中心

< 返回产品

云桌面

云终端系列

查看云终端选型指导

云主机系列

云桌面软件系列

配件系列

查看云桌面首页 >

所有技术解决方案

安全

安全所有产品

< 返回产品

安全

大数据安全平台

下一代防火墙

安全网关

检测管理安全

应用防护安全

安全服务

安全云

查看安全首页 >

所有技术解决方案

统一运维

统一运维所有产品

< 返回产品

统一运维

IT运维产品

查看统一运维首页 >

所有技术解决方案

身份管理

身份管理所有产品

< 返回产品

身份管理

安全管理系列

运营管理系列

身份中台

查看身份管理首页 >

服务产品

服务产品所有产品

< 返回产品

服务产品

基础实施服务

基础维护服务

运维管理服务

整网服务

安全服务

备件与扩容服务

培训与认证服务

查看服务产品首页 >

产品中心首页 >

官方商城

锐捷睿易

体验中心

关于部分路由器BCOS系统存在命令执行漏洞的安全通告

发布时间：2021-07-09

最新更新时间：2021-07-09

近日，CNVD报告我司BCR810W/BCR860路由器的BCOS系统存在命令执行漏洞（CNVD-2021-36237）。问题表现为：攻击者在获取设备登陆权限的前提下，可以通过在参数中注入命令执行。

一、漏洞说明

攻击者访问BCOS的web管理系统，在用户设备登陆账户密码的前提下，可以通过篡改参数注入命令执行。

二、影响范围

涉及产品型号、软件版本：

产品型号	软件版本	说明
BCR810W/BCR860	BCOS2.5.13

三、漏洞定级

只有在攻击者掌握设备登陆密码，并且用户把BCOS端口开放映射到互联网的前提下，该风险才会存在。因此，按照《GBT 30279-2013 信息安全技术安全漏洞等级划分指南.pdf》定义，此漏洞等级为“低危”。

四、漏洞规避方案

1、关闭设备外网访问功能。方法：登录设备管理页面，找到详细配置->网络安全->运行外网登录WEB，将开关关闭并确定保存。如下图：

五、漏洞解决方案

目前，我司已发布漏洞修复解决方案，用户可通过下载升级解决该漏洞。

产品型号	漏洞修复版本	说明
BCR810W/BCR860	BCOS2.5.15

六、后续改善计划

锐捷网络会持续进行此漏洞的升级修复，第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复，同时，请您关注锐捷网络的官网、官微的公告内容，有任何关于此次漏洞修复的问题，可以通过以下方式联系我们：

锐捷售前咨询热线：4006-208-818

锐捷售后咨询热线：4008-111-000

锐捷睿易咨询热线：4001-000-078

锐捷网络官网：www.ruijie.com.cn

锐捷网络股份有限公司

2021年6月28日

关于部分路由器BCOS系统存在命令执行漏洞的安全通告

请选择服务项目