FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概述

锐捷网络近日发布安全公告，披露其Reyee RG-ES系列交换机存在高危漏洞（CVE-2025-56752），攻击者可利用该漏洞未经授权修改设备登录凭证。该漏洞CVSS评分为9.4分，对生产环境中使用这些交换机的机构构成重大风险。

技术细节

根据公告描述："锐捷部分Reyee RG-ES系列产品存在允许未授权修改密码的漏洞，攻击者可利用此漏洞修改设备的eWeb登录密码"。实际攻击中，远程攻击者无需认证即可获取受影响设备的完全管理权限，从而获得配置修改、流量控制和设备行为操纵等全面控制权。

受影响设备型号

RG-ES系列

• RG-ES216GC-V2、RG-ES224GC-V2、RG-ES220GS-P、RG-ES228GS-P
• RG-ES209GC-P、RG-ES205GC-P、RG-ES205GC、RG-ES208GC
• RG-ES206GS-P、RG-ES210GS-P、RG-ES218GC-P、RG-ES226GC-P
• RG-ES206GC-P、RG-ES216GC、RG-ES224GC、RG-ES210GC-LP
• RG-ES206MG-P、RG-ES209MG-P

RG-NIS系列

• RG-NIS2100-8GT2SFP-HP、RG-NIS2100-4GT2SFP-HP

修复方案

锐捷已发布修补固件版本，用户应根据受影响型号升级至以下版本之一：

• ESW_1.0(1)B1P48或更高版本
• Release(12142711)、Release(12162701)或更高版本

支持自动更新的设备将提示用户安装修复程序。管理员也可通过锐捷网络官网下载更新固件，或联系当地售后支持获取。

安全建议

使用受影响锐捷设备的机构应立即采取以下措施：

1. 立即更新至适用于对应型号的修补固件版本
2. 限制管理接口访问，仅允许可信管理网络接入
3. 启用多重认证机制加强访问保护
4. 监控可疑配置变更及异常登录尝试

该漏洞由锐捷内部研发团队与安全研究员Tal Hershberg共同发现并负责任披露。

参考来源：

CVE-2025-56752: Remote Attackers Can Gain Full Administrative Access to Affected Ruijie Networks Devices Without Authentication

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）