漏洞说明

在web管理页面上，使用管理员的用户名密码登录设备后，可通过web页面执行部分操作命令，设备上有接口来读取这些操作命令的返回值。接口对返回值中存在的恶意指令过滤不充分，导致设备可以通过CLI被远程执行一些恶意指令，对设备正常运行造成影响。

影响范围

目前仅网关产品的11x版本存在此问题，10.x版本未发现此问题。

漏洞详情

web页面的管理员用户名、密码泄漏，且http登录访问成功的情况下会发生。 进入锐捷易网关登录界面，抓取一个登录数据包：

发现参数中有command=执行的命，strurl=应该是当前的运行模式挖掘后发现有exec和config等，mode=priv_exec直接特权模式

输入 sh run命令进行尝试，可查看到有相应的用户信息： 注意到这里有一个webmaster level 0 1 2，通过了解0的级别是最高的，也就是权限是最好的，1和2 依次减低。

尝试通过执行webmaster level 0 username guest password guest来提升权限，需要把strurl改成config即可执行成功。 再查看show run最下面发下有telnet的密码信息：

之后就可通过telnet进入，再配置一个VPN账号后就可进行内网漫游：

特征：

版本：锐捷易网关产品11x版本 协议：http协议，默认端口80 流量探测参数中包含：command=、strurl=、 exec、 config、mode=priv_exec 流量提权参数：webmaster level 0 username guest password guest 相关设备命令：show run、sh run 新增异常VPN账号