自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

产品支持

安全公告

概述

MXview One 和 MXview One Central Manager 系列的若干安全漏洞

MXview One 和 MXview One Central Manager 系列存在 CVE-2024-6785、CVE-2024-6786 和 CVE-2024-6787 漏洞。这些漏洞可招致多种攻击,包括暴露本地凭证和通过消息队列遥测传输协议 (MQTT) 写入任意系统文件等。 

确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1 CWE-313: 文件或磁盘明文存储 (*CVE-2024-6785) 配置文件以明文存储凭证。拥有本地访问权限的攻击者可读取或修改配置文件,导致敏感信息暴露,进而产生服务滥用。
2 CWE-24: 路径遍历:‘../filedir’ (*CVE-2024-6786) 攻击者可通过编造含相关路径遍历序列的 MQTT 信息,读取任意系统文件。这可能导致配置文件、JWT 签名密钥等敏感信息泄露。
3 CWE-367: 检查时间与使用时间 (TOCTOU) 竞争条件 (*CVE-2024-6787) 攻击者可利用文件检查时间与使用时间 (TOCTOU) 的竞争条件,写入任意系统文件,进而执行恶意代码,可能造成文件丢失。

注意:上表中的星号 (*) 表示最新分配的公共漏洞和暴露 (CVE) 标识符。

漏洞评分信息

ID 基础得分 漏洞载体 严重程度 是否无需身份验证即可远程利用漏洞
CVE-2024-6785 CVSS 3.1: 5.5 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 中等
CVSS 4.0: 6.8 AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N 中等
CVE-2024-6786 CVSS 3.1: 6.5 AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 中等
CVSS 4.0: 6.0 AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 中等
CVE-2024-6787 CVSS 3.1: 5.3 AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N 中等
CVSS 4.0: 6.0 AV:N/AC:H/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 中等
受影响产品与解决方案

受 CVE-2024-6785 影响的产品:

受影响的产品和软件版本如下所示:

产品系列 受影响的版本
MXview One 系列 软件版本 1.3.0 及更早版本
MXview One Central Manager 系列 软件版本 1.0.0

受 CVE-2024-6786 和 CVE-2024-6787 影响的产品:

受影响的产品和软件版本如下所示:

产品系列 受影响的版本
MXview One 系列 软件版本 1.4.0 及更早版本

 

解决方案

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
MXview One 系列 升级至软件版本 1.4.1
MXview One Central Manager 系列 升级至软件版本 1.0.3

 

防护措施

  • 尽量减少暴露于网络,以确保无法从互联网访问设备。
  • 强烈建议首次登录服务时,立即修改默认凭证,这有助于加强安全防护,阻止未经授权的访问。

 

鸣谢

感谢 Claroty Research - Team82 的 Noam Moshe 报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。

 

修订历史

版本 说明 发布日期
1.0 首次发布 2024 年 9 月 20 日
1.1 在“参考”部分增加 ICSA-24-268-05 2024 年 9 月 26 日

相关产品

MXview One Central Manager 系列 · MXview One 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹