近日，，，，，，，某网络安全单元汇报全发国际部门网关产品存在XSS缝隙（又称之为跨站剧本缝隙），，，，，，，目前，，，，，，，全发国际网络已经对其它产品线进行安全自查，，，，，，，截至目前，，，，，，，暂未发现此缝隙。。。。。具体情况如下：

一、影响领域

目前仅网关产品的10.x版本存在此问题，，，，，，，11.x版本未发现此问题，，，，，，，致意心使用。。。。。

涉及产品如下：

EG系列：RG-EG1000C、RG-EG1000M、RG-EG1000S、RG-EG1000L、RG-EG1000CM

NPE系列：RG-NPE50E、RG-NPE60E

NBR系列：RG-NBR1000G、RG-NBR1300G、RG-NBR1500G、RG-NBR2000G、RG-NBR2000D

二、缝隙注明

上述型号的登录首页，，，，，，，被检测出存在XSS（跨站剧本攻击）缝隙。。。。。

该问题是指攻击者通过劫持用户接见web的会话，，，，，，，伪造用户要求，，，，，，，向设备提议带有恶意攻击剧本的要求，，，，，，，若设备未能正确过滤恶意执行的嵌入剧本，，，，，，，可能会导致恶意剧本在接见设备web界面的终端上被执行，，，，，，，从而产生剧本攻击。。。。。

当设备被攻击者攻击后，，，，，，，我司服务器在特殊情况下会将攻击者的注入剧本代码返回给在使用web的治理员，，，，，，，这样有可能会使用户终端执行恶意剧本。。。。。

三、缝隙影响面与等级

此缝隙对我司设备自身无影响，，，，，，，我司产品是高度定造化产品，，，，，，，内部有多层逻辑不会执行剧本攻击。。。。。并且不会产生攻击者劫持用户会话的可能。。。。。因而设备自身不存在被攻击的风险。。。。。

四、缝隙等级

依照《GBT 30279-2013 信息安全技术 安全缝隙等级划分指南.pdf》界说，，，，，，，此缝隙等级为“低危”。。。。。

既：可远程操作、利用方式单一、对客户设备和网络无影响、仅可能影响远程接见此设备的网络治理员。。。。。

缝隙建补规划：升级RGOS 10.3(4b11)p5T11

全发国际官网可获取此版本：http://www.ruijie.com.cn/fw/rj/

五、后续改善打算

本着对客户掌管的态度，，，，，，，建议宽大用户选取官网下载主法式的方式进行缝隙建复，，，，，，，同时，，，，，，，请您关注全发国际网络的官网的布告内容，，，，，，，有任何干于这次缝隙建复的问题，，，，，，，能够通过以下方式联系全发国际：

全发国际网络售后热线：4008-111-000

全发国际睿易售后热线：4001-000-078

全发国际网络官网：www.ruijie.com.cn

全发国际网络高度器沉并珍惜客户的信赖，，，，，，，并将通过不休的自我美满，，，，，，，持续为各行业客户带来高品质的产品和服务。。。。。

全发国际网络股份有限公司

2018年9月26日