CVE-2024-47547 — 神龙十问 AI 深度分析摘要

🚨 **本质**：锐捷 ReyeeOS 路由器**密码机制太弱**。 💥 **后果**：攻击者可轻易获取高权限，导致**机密泄露**和**系统被篡改**。

🔍 **CWE-640**：改进弱口令的获取机制。 📍 **缺陷点**：密码更改/验证逻辑存在严重短板，无法有效抵御暴力破解或猜测。

📦 **厂商**：锐捷网络 (Ruijie)。 📱 **产品**：Reyee OS 路由器。 📅 **范围**：版本 **2.206.x** 至 **2.320.x 之前**（不含2.320.x）。

🔓 **权限**：获得**高权限**访问。 📂 **数据**：完全泄露（**C:H**），配置被篡改（**I:H**），服务中断（**A:L**）。

📉 **门槛极低**。 🌐 **网络**：远程利用 (AV:N)。 🔑 **认证**：无需认证 (PR:N)。 👤 **交互**：无需用户操作 (UI:N)。

🚫 **无现成 Exp**。 📝 **状态**：PoC 列表为空，暂无公开在野利用代码。

🔎 **自查**：检查设备是否为锐捷 Reyee OS。 📊 **版本**：确认固件版本是否在 **2.206.x - 2.319.x** 区间。

🛡️ **官方修复**：已发布安全公告。 📌 **建议**：升级至 **2.320.x 或更高**版本以修复此漏洞。

⚠️ **临时规避**： 1. 修改为**高强度复杂密码**。 2. 限制管理界面**访问IP**。 3. 关闭不必要的远程管理端口。

🔥 **优先级：高**。 📈 **理由**：CVSS 评分高，远程无需认证即可利用，严重影响机密性和完整性。建议**立即**排查并升级。