自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。
登录
首页 支持 安全公告 AWK-3131A/4131A/1131A/1137C 系列无线 AP/网桥/客户端漏洞

产品支持

安全公告

请登录

忘记密码了?
登录
记住密码
非注册用户? 现在注册
概述

AWK-3131A/4131A/1131A/1137C 系列无线 AP/网桥/客户端漏洞

  • 安全公告编号: MPSA-211210
  • 版本: V1.0
  • 发布日期: 2021年12月30日
  • 参考:
    • CVE-2021-37752, CVE-2021-37753, CVE-2021-37755, CVE-2021-37757, CVE-2021-37751, CVE-2021-37754, CVE-2021-37756, CVE-2021-37758

Moxa 的 AWK-3131A/4131A/1131A/1137C 系列无线 AP/网桥/客户端中发现了多个产品漏洞。对此,Moxa 制定了相关的解决方案来解决这些漏洞。

已确定的漏洞类型和潜在影响如下:

项目 漏洞类型 影响
1 用于身份验证的命令注入 (CWE-77), CVE-2021-37752 位于远程的攻击者可以通过 Web 界面在设备上执行任意命令。
2 身份验证绕过和未加密凭证
(CWE-303, CWE-256), CVE-2021-37753, CVE-2021-37755		 位于远程的攻击者可以绕过身份验证机制。
3 导致缓冲区溢出的不当限制
(CWE-119), CVE-2021-37757		 位于远程的攻击者可以使设备的服务崩溃。
4 向未经授权的参与者泄露敏感信息 (CWE-204), CVE-2021-37751 位于远程的攻击者可以获得敏感信息。
5 对过多验证尝试的不当限制
(CWE-307), CVE-2021-37754		 位于远程的攻击者可以通过暴力破解获取凭证。
6 跨站脚本攻击(XSS)
(CWE-79), CVE-2021-37756		 位于远程的攻击者可以通过 Web 界面将 HTML 和 JavaScript 插入系统。
7 不当固件验证
(CWE-347), CVE-2021-37758		 攻击者可以为设备创建恶意固件。

 

受影响产品与解决方案

受影响的产品:

受影响的产品和固件版本如下。

产品系列 受影响版本
AWK-3131A 系列 固件版本 1.16 或更低版本。
AWK-4131A 系列 固件版本 1.16 或更低版本。
AWK-1131A 系列 固件版本 1.22 或更低版本。
AWK-1137C 系列 固件版本 1.6 或更低版本。

 

解决方案:

Moxa 已经制定了适当的解决方案来解决这些漏洞。受影响产品的解决方案如下。

产品系列 解决方案
AWK-3131A 系列
AWK-4131A 系列
AWK-1131A 系列
AWK-1137C 系列		 对于第 1 项:用户可以禁用 HTTP 控制台,并通过设备配置启用 HTTPs。

对于第 2 至 5 项:用户可以通过配置设备来禁用 Moxa 服务控制台。

对于第 6 项:请升级到最新固件。
对于第 7 项:我们建议用户从 Moxa.com 或其他可信来源下载固件。我们还提供 SHA-512 校验和,用于固件完整性检查。

 

致谢:

我们要感谢 Dragos 公司的 Jake Baines 报告了该漏洞,与我们合作,帮助提高我们产品的安全性,并帮助我们为客户提供更好的服务

 

修订记录:

版本 说明 发布日期
1.0 首次发布 2021 年 12 月 30 日

相关产品

AWK-1131A 系列 · AWK-1137C 系列 · AWK-3131A 系列 · AWK-4131A 系列 ·

  •   打印此页

  • 保存
    您可在 My Moxa 管理和分享已保存列表
相关公告
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞

请勿共享我的个人信息

若选择不向跨场景行为广告共享个人信息,您可以填写并提交下方的表格。


请注意,即使选择填写表格,您仍有可能在其他网站看到我们的广告,但这些广告有可能与您的兴趣无关。

 
 
添加至收藏夹

查看收藏夹