銳捷網絡多個系列產品命令注入漏洞，漏洞編號：CVE-2023-38902，漏洞風險等級：高危。

銳捷多個系列產品在/usr/sbin/unifyframe-sgi.elf文件中存在命令注入漏洞（CVE-2023-38902），經過身份驗證的威脅者可向/cgi-bin/luci/api/cmd發送POST請求，通過remoteIp字段注入命令，成功利用該漏洞可能導致在設備上執行任意命令。

（一）漏洞影響范圍：

RG-EW系列路由器和中繼器固件版本：EW_3.0(1)B11P219

RG-NBS和RG-S1930系列交換機固件版本：SWITCH_3.0(1)B11P219

RG-EG系列商業VPN路由器固件版本：EG_3.0(1)B11P219

RG-EAP和RG-RAP系列無線 AP 固件版本：AP_3.0(1)B11P219

RG-NBC系列無線控制器固件版本：AC_3.0(1)B11P219

（二）漏洞修復建議：

一是建議將管理頁面放進內網，禁止外部訪問；

二是修改默認口令，設置為高強度密碼口令，加強系統訪問控制，攔截惡意執行的命令；

三是加強系統用戶和權限管理，啟用多因素認證機制和最小權限原則，用戶和軟件權限應保持在最低限度；四是建議用戶留意官方公告，及時升級到最新版本：https://www.ruijie.com.cn/fw/rj-first-2357。