銳捷網(wǎng)絡(luò)多個系列產(chǎn)品命令注入漏洞，漏洞編號：CVE-2023-38902，漏洞風(fēng)險等級：高危。

銳捷多個系列產(chǎn)品在/usr/sbin/unifyframe-sgi.elf文件中存在命令注入漏洞（CVE-2023-38902），經(jīng)過身份驗證的威脅者可向/cgi-bin/luci/api/cmd發(fā)送POST請求，通過remoteIp字段注入命令，成功利用該漏洞可能導(dǎo)致在設(shè)備上執(zhí)行任意命令。

（一）漏洞影響范圍：

RG-EW系列路由器和中繼器固件版本：EW_3.0(1)B11P219

RG-NBS和RG-S1930系列交換機固件版本：SWITCH_3.0(1)B11P219

RG-EG系列商業(yè)VPN路由器固件版本：EG_3.0(1)B11P219

RG-EAP和RG-RAP系列無線 AP 固件版本：AP_3.0(1)B11P219

RG-NBC系列無線控制器固件版本：AC_3.0(1)B11P219

（二）漏洞修復(fù)建議：

一是建議將管理頁面放進內(nèi)網(wǎng)，禁止外部訪問；

二是修改默認口令，設(shè)置為高強度密碼口令，加強系統(tǒng)訪問控制，攔截惡意執(zhí)行的命令；

三是加強系統(tǒng)用戶和權(quán)限管理，啟用多因素認證機制和最小權(quán)限原則，用戶和軟件權(quán)限應(yīng)保持在最低限度；四是建議用戶留意官方公告，及時升級到最新版本：https://www.ruijie.com.cn/fw/rj-first-2357。