近日，某网络安全单元汇报iSlot官方网站部门网关产品存在XSS缝隙（又称之为跨站剧本缝隙），目前，iSlot官方网站网络已经对其它产品线进行安全自查，截至目前，暂未发现此缝隙
。具体情况如下：

一、影响领域

目前仅网关产品的10.x版本存在此问题，11.x版本未发现此问题，致意心使用
。

涉及产品如下：

EG系列：RG-EG1000C、RG-EG1000M、RG-EG1000S、RG-EG1000L、RG-EG1000CM

NPE系列：RG-NPE50E、RG-NPE60E

NBR系列：RG-NBR1000G、RG-NBR1300G、RG-NBR1500G、RG-NBR2000G、RG-NBR2000D

二、缝隙注明

上述型号的登录首页，被检测出存在XSS（跨站剧本攻击）缝隙
。

该问题是指攻击者通过劫持用户接见web的会话，伪造用户要求，向设备提议带有恶意攻击剧本的要求，若设备未能正确过滤恶意执行的嵌入剧本，可能会导致恶意剧本在接见设备web界面的终端上被执行，从而产生剧本攻击
。

当设备被攻击者攻击后，我司服务器在特殊情况下会将攻击者的注入剧本代码返回给在使用web的治理员，这样有可能会使用户终端执行恶意剧本
。

三、缝隙影响面与等级

此缝隙对我司设备自身无影响，我司产品是高度定造化产品，内部有多层逻辑不会执行剧本攻击
。并且不会产生攻击者劫持用户会话的可能
。因而设备自身不存在被攻击的风险
。

四、缝隙等级

依照《GBT 30279-2013 信息安全技术 安全缝隙等级划分指南.pdf》界说，此缝隙等级为“低危”
。

既：可远程操作、利用方式单一、对客户设备和网络无影响、仅可能影响远程接见此设备的网络治理员
。

缝隙建补规划：升级RGOS 10.3(4b11)p5T11

iSlot官方网站官网可获取此版本：http://www.ruijie.com.cn/fw/rj/

五、后续改善打算

本着对客户掌管的态度，建议宽大用户选取官网下载主法式的方式进行缝隙建复，同时，请您关注iSlot官方网站网络的官网的布告内容，有任何干于这次缝隙建复的问题，能够通过以下方式联系iSlot官方网站：

iSlot官方网站网络售后热线：4008-111-000

iSlot官方网站睿易售后热线：4001-000-078

iSlot官方网站网络官网：www.ruijie.com.cn

iSlot官方网站网络高度器沉并珍惜客户的信赖，并将通过不休的自我美满，持续为各行业客户带来高品质的产品和服务
。

iSlot官方网站网络股份有限公司

2018年9月26日