Moxa 蜂窝路由器、安全路由器及网络安全设备存在两个关键漏洞,可能造成重大安全风险。
- CVE-2024-9138: 此漏洞涉及硬编码凭证,可能导致经授权的用户提升权限,获得对系统的根级访问权。
- CVE-2024-9140: 攻击者可通过该漏洞利用特殊字符绕过输入限制,可能导致未经授权的命令执行。
强烈建议立即采取措施,防止利用漏洞的情况发生,降低安全风险。
确定的漏洞类型和潜在影响如下所示:
序号 |
漏洞类型 |
影响 |
1 |
CWE-656: 依赖于隐蔽性安全 (CVE-2024-9138)
|
经授权的用户可利用硬编码凭证获得根级访问权限,导致系统受损、未授权修改、数据泄露或服务中断。 |
2 |
CWE-78: 未正确中和 OS 命令中使用的特殊元素(“OS 命令注入”) (CVE-2024-9140) |
受影响的产品允许通过未适当限制的命令进行 OS 命令注入,从而使攻击者有可能执行任意代码。 |
漏洞评分信息
ID |
基础得分 |
漏洞载体 |
严重程度 |
是否无需身份验证即可远程利用漏洞 |
CVE-2024-9138 |
CVSS 3.1: 7.2 |
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
|
高 |
否 |
CVSS 4.0: 8.6 |
AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
|
CVE-2024-9140 |
CVSS 3.1: 9.8 |
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
|
严重 |
是 |
CVSS 4.0: 9.3 |
AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
|
说明:本公告用 CVSS 3.1 作为衡量严重程度的标准,CVSS 4.0 则用作参考指标,供比较。