组件介绍

锐捷RG-EG系列产品网关是面向中小规模网络出口的新一代高性能综合网关，使用新一代MIPS高性能多核处理器，集成NAT路由、无线控制器、智能选路、广域网优化、网络流量控制、上网行为管理、内容审计、IPSec/SSL VPN、防火墙、Web/实名/微信认证等多种功能。RG-EG3000CE/SE高性能综合网关能够有效的优化用户网络，提高业务性能，规范上网行为，保障政策合规，满足各行业中小规模网络出口需求。EWEB是其中的网络管理系统。

漏洞描述

2021年4月28日，深信服安全团队监测到一则锐捷EG网关和NBR路由器的EWEB网管系统组件存在远程命令执行漏洞的信息，漏洞编号：(CNVD-C-2021-12252、CNVD-C-2021-08674 、CNVD-C-2021-09953、CNVD-2021-09512、CNVD-2021-09650、CNVD-2021-21527为同一个漏洞)，漏洞威胁等级：高危。

该漏洞是由于未对用户的输入做合法的过滤导致的，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器最高权限。

影响范围

锐捷网络的EG网关和NBR路由器由于高性能和安全性被广泛使用，全球有超过5万的用户使用，可能受漏洞影响的资产广泛分布于世界各地，中国大陆省份中，吉林、广东、北京、上海等省市接近 70%，今年曝出的漏洞属于高危，涉及用户量大，导致漏洞影响力很大。

目前受影响的版本：

1、涉及软件版本：

网关产品的11.1(6)B21及之后版本存在此问题。 

2、涉及产品型号：

NBR系列

NBR108G-P、NBR1000G-E、NBR1300G-E、NBR1700G-E、NBR2100G-E、NBR2500D-E、NBR3000D-E、NBR6120-E、NBR6135-E、NBR6205-E、NBR6210-E、NBR6215-E、NBR800G、NBR950G、NBR1000G-C/NBR2000G-C/NBR3000G-S

EG系列

RG-EG1000C、RG-EG2000F、RG-EG2000K、RG-EG2000L、RG-EG2000CE、 RG-EG2000SE、RG-EG2000GE、RG-EG2000XE、RG-EG2000UE、RG-EG3000CE、RG-EG3000SE、RG-EG3000GE、RG-EG3000ME、RG-EG3000UE、RG-EG3000XE、RG-EG2100-P、EG3210、EG3220、EG3230、EG3250

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

http://www.ruijie.com.cn/fw/rj/