自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

产品支持

安全公告

概述

多款 Moxa 以太网交换机存在 CVE-2023-48795 和 CVE-2019-20372 漏洞

多款 Moxa 以太网交换机存在 CVE-2023-48795 和 CVE-2019-20372 漏洞。这些漏洞可能造成安全风险,破坏受影响产品的完整性和功能。


确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1

完整性检查值验证不当 (CWE-354) 

CVE-2023-48795

攻击者可远程发起中间人攻击,绕过完整性检查,降低连接安全等级。
2

HTTP 请求解析不一致(“HTTP 请求/响应夹带”) (CWE-444)

CVE-2019-20372

此漏洞可能导致 HTTP 请求夹带,允许攻击者未经授权访问网页,绕过安全控制,进而发起其他攻击。

漏洞评分信息

ID
基础得分
漏洞载体

是否无需身份验证即可远程利用漏洞

CVE-2023-48795

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

CVE-2019-20372 5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

受影响产品与解决方案

受 CVE-2023-48795 影响的产品:

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
MDS-G4012 系列 固件版本 4.0 及更早版本
MDS-G4020 系列 固件版本 4.0 及更早版本
MDS-G4028 系列 固件版本 4.0 及更早版本
MDS-G4012-L3 系列 固件版本 4.0 及更早版本
MDS-G4020-L3 系列 固件版本 4.0 及更早版本
MDS-G4028-L3 系列 固件版本 4.0 及更早版本
MDS-G4012-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4020-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4028-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4012-L3-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4020-L3-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4028-L3-4XGS 系列 固件版本 4.0 及更早版本

受 CVE-2019-20372 影响的产品:

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
MDS-G4012 系列 固件版本 4.0 及更早版本
MDS-G4020 系列 固件版本 4.0 及更早版本
MDS-G4028 系列 固件版本 4.0 及更早版本
MDS-G4012-L3 系列 固件版本 4.0 及更早版本
MDS-G4020-L3 系列 固件版本 4.0 及更早版本
MDS-G4028-L3 系列 固件版本 4.0 及更早版本
MDS-G4012-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4020-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4028-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4012-L3-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4020-L3-4XGS 系列 固件版本 4.0 及更早版本
MDS-G4028-L3-4XGS 系列 固件版本 4.0 及更早版本

 

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
MDS-G4012 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4020 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4028 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4012-L3 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4020-L3 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4028-L3 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4012-4XGS 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4020-4XGS 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4028-4XGS 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4012-L3-4XGS 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4020-L3-4XGS 系列 请联系 Moxa 技术支持寻求更多帮助
MDS-G4028-L3-4XGS 系列 请联系 Moxa 技术支持寻求更多帮助

 

防护措施:

  • 对于 CVE-2023-48795 漏洞:禁用易受攻击的扩展模块,可防止漏洞载体遭到利用。同时,网络分区可缩小受攻击面,遏制攻击者侵入其他区域。

  • 对于 CVE-2019-20372 漏洞:妥善配置可确保出错页面得到安全处理,避免遭到利用。此外,页面应用防火墙 (WAF) 可在潜在有害请求传至 NGINX 前将其过滤,为网络安全增添一份保障。

 

不受上述漏洞影响的产品:

只有此公告的“受影响的产品”部分中列出的产品会受到这些漏洞的影响。Moxa 已确认此类漏洞不会影响以下产品:

  • EDS-205A 系列、EDS-208A 系列、EDS-405A 系列、EDS-408A 系列、EDS-505A 系列、EDS-508A 系列、EDS-510A 系列、EDS-516A 系列、EDS-518A 系列、EDS-G205A 系列、EDS-P206A 系列、EDS-P510A 系列
  • PT-7528 系列、PT-G503 系列、PT-G510 系列、PT-G7728 系列、PT-G7828 系列
  • 已停产产品:PT-7728 系列、PT-7828 系列

 

修订历史:

版本 说明 发布日期
1.0 首次发布 2024 年 11 月 1 日
1.1 更新解决方法 2024 年 11 月 22 日

相关产品

MDS-G4012 系列 · MDS-G4012-4XGS 系列 · MDS-G4012-L3 系列 · MDS-G4012-L3-4XGS 系列 · MDS-G4020 系列 · MDS-G4020-4XGS 系列 · MDS-G4020-L3 系列 · MDS-G4020-L3-4XGS 系列 · MDS-G4028 系列 · MDS-G4028-4XGS 系列 · MDS-G4028-L3 系列 · MDS-G4028-L3-4XGS 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹