MDS-G4028-L3 系列和 EDS-G512E 系列存在漏洞,面临潜在安全风险。MDS-G4028-L3 系列存在 CVE-2023-48795 漏洞,可能导致未经授权的访问,以及过时版本的 Nginx 存在 CVE-2023-44487、CVE-2021-23017、CVE-2021-3618 和 CVE-2019-20372 漏洞,会遭受无法修复的威胁。EDS-G512E 系列受弱 SSL/TLS 密钥交换影响,可能导致加密通信被破解,数据被截取。
确定的漏洞类型和潜在影响如下所示:
| 序号 |
漏洞类型 |
影响 |
| 1 |
CWE-354:完整性检查值验证不当 (CVE-2023-48795)
|
完整性检查一般使用密钥来认证数据源。跳过完整性检查通常可能导致来自无效源的新数据注入。 |
| 2 |
CWE-193:差一错误 (CVE-2021-23017) |
此漏洞一般会导致未定义行为,甚至崩溃。此外,循环索引变量溢出易引发无限循环。 |
| 3 |
CWE-295:未适当地执行凭证验证 (CVE-2021-3618) |
攻击者可绕过保护机制,或获得权限,或冒充合法身份。 |
| 4 |
CWE-444:HTTP 请求解析不一致(“HTTP 请求/响应夹带”)(CVE-2019-20372) |
攻击者可创建 HTTP 消息以利用以下漏洞:1)消息可诱导 Web 服务器将某一 URL 与另一 URL 的网页相联,并缓存网页内容(Web 缓存中毒攻击);2)消息可绕过防火墙保护机制,实现无授权访问 Web 应用;3)消息可调用返回客户端凭证的脚本或页面(类似跨站脚本攻击)。 |
| 5 |
CWE-326:加密强度不足 |
攻击者可通过暴力攻击解密数据。 |
漏洞评分信息
|
ID
|
基础得分
|
漏洞载体
|
是否无需身份验证即可远程利用漏洞
|
| CVE-2023-48795 |
5.9
|
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
|
是 |
| CVE-2021-23017 |
7.7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L |
是 |
| CVE-2021-3618 |
7.4 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
是 |
| CVE-2019-20372 |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
是 |