关键信息 漏洞概述 CVE ID: CVE-2025-56752 描述: 未认证的攻击者可以在多个Ruijie RG-ES系列交换机上绕过认证,允许远程以管理权限接管设备。 影响 远程攻击者可以在受影响的设备上获得完全的管理访问权限,无需认证。这使得攻击者可以完全控制配置、流量和设备行为。 CVSS评分 基础评分: 9.4 (严重) 向量: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:A/A:H 范围澄清 此漏洞基于Ruijie的公告RJPSIRT-2025-07090,该公告描述了通过eWeb进行未经授权的密码修改。CVE-2025-56752涵盖了完整的认证绕过,使远程管理员能够在没有先前凭据的情况下访问。 受影响和已修复的固件版本 补丁可用性 启用了自动更新的设备将收到系统提示。 手动固件下载可通过Ruijie官方网站获取。 用户也可联系当地售后服务人员获取补丁。 报告人与时间 报告人: Tal Hershberg 报告时间: 2025年7月 参考资料 Ruijie安全公告RJPSIRT-2025-07090 此披露旨在提高公众安全意识,并促进负责任的漏洞报告。不包含任何专有代码或机密信息。