銳捷網(wǎng)絡(luò)多個(gè)系列產(chǎn)品命令注入漏洞，漏洞編號(hào)：CVE-2023-38902，漏洞風(fēng)險(xiǎn)等級(jí)：高危。

銳捷多個(gè)系列產(chǎn)品在/usr/sbin/unifyframe-sgi.elf文件中存在命令注入漏洞（CVE-2023-38902），經(jīng)過(guò)身份驗(yàn)證的威脅者可向/cgi-bin/luci/api/cmd發(fā)送POST請(qǐng)求，通過(guò)remoteIp字段注入命令，成功利用該漏洞可能導(dǎo)致在設(shè)備上執(zhí)行任意命令。

（一）漏洞影響范圍：

RG-EW系列路由器和中繼器固件版本：EW_3.0(1)B11P219

RG-NBS和RG-S1930系列交換機(jī)固件版本：SWITCH_3.0(1)B11P219

RG-EG系列商業(yè)VPN路由器固件版本：EG_3.0(1)B11P219

RG-EAP和RG-RAP系列無(wú)線 AP 固件版本：AP_3.0(1)B11P219

RG-NBC系列無(wú)線控制器固件版本：AC_3.0(1)B11P219

（二）漏洞修復(fù)建議：

一是建議將管理頁(yè)面放進(jìn)內(nèi)網(wǎng)，禁止外部訪問(wèn)；

二是修改默認(rèn)口令，設(shè)置為高強(qiáng)度密碼口令，加強(qiáng)系統(tǒng)訪問(wèn)控制，攔截惡意執(zhí)行的命令；

三是加強(qiáng)系統(tǒng)用戶和權(quán)限管理，啟用多因素認(rèn)證機(jī)制和最小權(quán)限原則，用戶和軟件權(quán)限應(yīng)保持在最低限度；四是建議用戶留意官方公告，及時(shí)升級(jí)到最新版本：https://www.ruijie.com.cn/fw/rj-first-2357。