自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

产品支持

安全公告

概述

MXsecurity 系列的若干网络漏洞

MXsecurity 系列版本 1.1.0 及更早版本存在两个安全漏洞。

CVE-2024-4739 

MXsecurity 系列版本 1.1.0 及更早版本缺乏资源访问限制,易遭到越权用户侵入。通过获取有效的身份验证器,攻击者即可冒充授权用户并成功访问资源。;

CVE-2024-4740 

MXsecurity 系列版本 1.1.0 及更早版本使用硬编码凭证,存在安全漏洞。攻击者可借此漏洞篡改敏感数据。

确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1

暴露的危险方法或功能 (CWE-749) 

CVE-2024-4739 

攻击者可访问资源。 
2

使用硬编码的凭证 (CWE-798) 

CVE-2024-4740 

攻击者可篡改敏感数据。 

漏洞评分信息 

ID
CVSS v3.1 得分
漏洞载体
严重程度

无需身份验证即可远程利用漏洞?

CVE-2024-4739

5.3

AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

中等
CVE-2024-4740 5.3 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 中等
受影响产品与解决方案

受影响的产品

受影响的产品和版本如下所示: 

产品系列 受影响的版本
MXsecurity 系列  软件版本 1.1.0 及更早版本  

 

解决方案

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示: 

产品系列 解决方案
MXsecurity 系列  Moxa 软件许可门户上升级至版本 2.2.0 或更新版本  

 

防护措施

  • 尽量减少暴露于网络,以确保无法从互联网访问设备。
  • 需要远程访问时,请使用安全方式,例如虚拟专用网络 (VPN)。
  • 上述所有漏洞的起因都来源于 Web 服务,因此,如果已完成配置,建议暂时禁用 Web 服务,以防止这些漏洞造成进一步损害,直到安装修补程序或更新固件。

 

不受上述漏洞影响的产品

只有此公告的“受影响的产品”部分中列出的产品会受到这些漏洞的影响。

 

鸣谢  

感谢 Sean Cai 和 Chris Huang 报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。

 

修订历史

版本 说明 发布日期
1.0 首次发布 2024 年 10 月 18 日

相关产品

MXsecurity 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹