【原创漏洞】锐捷网络RSR路由器设备部分型号存在多个账号越权漏洞 – 作者:博智安全elex

日前,博智安全科技股份有限公司(以下简称“博智安全”)旗下博智赛博空间非攻研究院在日常安全研究过程中发现:锐捷网络股份有限公司(以下简称“锐捷网络”)RSR路由器设备部分型号存在多个授权绕过漏洞,攻击者可利用该漏洞,在低级Web管理员账号下进行很多越权操作。

博智安全遂立即向国家信息安全漏洞共享平台(China National Vulnerability Database,以下简称“CNVD”)上报了一系列漏洞,经CNVD向锐捷网络通报,锐捷网络对漏洞进行了快速分析、定位和修复,并于2020年05月22日官方发布了安全通告,使用了相应存在漏洞版本设备的运营商及企业用户可到锐捷网络官网下载安全补丁进行漏洞修复。

官方安全通告详见:

http://www.ruijie.com.cn/gy/xw-aqtg-gw/85723/

安全公告.jpg

同时,上报的一系列漏洞均通过了CNVD最终审核、入库,漏洞编号包括:

漏洞编号 漏洞名称
CNVD-2020-23654 锐捷RG-RSR20-14E存在命令执行漏洞
CNVD-2020-23653 锐捷RG-RSR20-14E存在未授权访问漏洞
CNVD-2020-28044 锐捷RSR20系列路由器存在拒绝服务漏洞
CNVD-2020-28043 锐捷RSR20系列路由器存在文件上传漏洞

23653.jpg23654.jpg28043.jpg28044.jpg

此次漏洞的上报、处置过程,体现了安全企业、CNVD和通信设备供应商在消除产品安全漏洞工作中的协同合作、快速响应,锐捷网络作为国内知名通信设备供应商,在发现漏洞后快速修复推出安全补丁,体现了大企业对产品安全的重视和对运营商及企业用户的高度责任感。

未来,博智安全将一如既往地发挥自身技术优势,积极配合CNVD做好技术支撑工作,并从维护国家、行业、用户的利益和安全出发,共同营造良好的信息安全环境,维护国家网络空间安全。

“博智赛博空间非攻研究院”为博智安全旗下技术创新、安全研究的重要部门,部门拥有一支能力突出、技术过硬、业务精通、勇于创新的技术队伍,当前主要专注于应用安全、攻防渗透、工业互联网安全、物联网安全、电信安全和人工智能安全等方向。

来源:freebuf.com 2020-06-04 09:43:24 by: 博智安全elex

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论