Moxa 的 ioLogik E2200 系列控制器和 I/O 以及 ioAdmin 配置实用工具中发现了多个产品漏洞。对此,Moxa 制定了相关的解决方案来解决这些漏洞。
ioLogik E2200 系列已确定的漏洞类型和潜在影响如下:
项目 |
漏洞类型 |
影响 |
1 |
不当身份验证 (CWE-285) 和使用客户端身份验证 (CWE-603) BDU:2021-05548 |
攻击者可以形成一个特殊的网络包来获取授权信息,甚至绕过验证检查。 |
2 |
使用硬编码密码 (CWE-259)
BDU:2021-05549 |
恶意用户可以通过硬编码密码获得访问权限。 |
3 |
不当访问控制 (CWE-284)
BDU:2021-05550 |
不限制或错误地限制未经授权的访问。 |
4 |
基于堆栈的缓冲区溢出 (CWE-121)
BDU:2021-05551 |
内置 Web 服务器中的缓冲区溢出使远程攻击者可以发起 DoS 攻击并执行任意代码 (RCE)。 |
5 |
不检查输入数据大小就复制缓冲区 (CWE-120)
BDU:2021-05552 |
内置 Web 服务器中的缓冲区溢出使远程攻击者可以发起 DoS 攻击。 |
6 |
基于堆栈的缓冲区溢出 (CWE-121) 和潜在的不当授权 (CWE-285)
BDU:2021-05553 |
内置 Web 服务器中的缓冲区溢出使远程攻击者可以发起 DoS 攻击并执行任意代码 (RCE),或可能绕过授权。 |
7 |
基于堆栈的缓冲区溢出 (CWE-121) 和潜在的不当授权 (CWE-285)
BDU:2021-05554 |
内置 Web 服务器中的缓冲区溢出使远程攻击者可以发起 DoS 攻击并执行任意代码 (RCE),或可能绕过授权。 |
8 |
基于堆栈的缓冲区溢出 (CWE-121) 和潜在的不当授权 (CWE-285)
BDU:2021-05555 |
内置 Web 服务器中的缓冲区溢出使远程攻击者可以发起 DoS 攻击并执行任意代码 (RCE),或可能绕过授权。 |
ioAdmin 配置实用工具已确定的漏洞类型和潜在影响如下
项目 |
漏洞类型 |
影响 |
9 |
弱密码要求 (CWE-521)
BDU:2021-05556 |
弱密码要求使攻击者可能通过暴力破解来访问设备。 |
10 |
对过多验证尝试的不当限制 (CWE-307)
BDU:2021-05557 |
弱密码要求使攻击者可能通过暴力破解来访问设备。 |
11 |
内存中敏感信息的明文存储 (CWE-316)
BDU:2021-05558 |
攻击者可以使用恶意软件获取存储在设备内存中的敏感数据。
|