自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

产品支持

安全公告

概述

OnCell 3120-LTE-1 系列的若干安全漏洞

OnCell 3120-LTE-1 系列固件版本 2.3 及更早版本受到旧版 jQuery 中多个漏洞的影响,可能让用户面临诸多安全风险,如跨站脚本 (XSS) 攻击、原型污染等。


确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1
在网页页面生成期间未正确中和输入(“跨站脚本”)(CWE-79)
 
CVE-2020-7656, CVE-2020-11022, CVE-2020-11023 (jQuery)
远程攻击者可通过 Web 接口将 HTML 或 JavaScript 插入系统。
2
对象原型属性修改的不恰当控制(原型污染)(CWE-1321)
 
CVE-2019-11358 (jQuery)
攻击者可植入用于其他组件的属性。

漏洞评分信息

ID
CVSS
v3.1 漏洞载体
严重程度

是否无需身份验证即可远程利用漏洞

CVE-2019-11358

6.1

AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

中等
CVE-2020-7656 6.1 AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 中等
CVE-2020-11022 6.1 AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 中等
CVE-2020-11023 6.1 AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 中等
受影响产品与解决方案

受影响的产品:

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
OnCell 3120-LTE-1 系列 固件版本 2.3 及更早版本

 

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
OnCell 3120-LTE-1 系列

请联系 Moxa 技术支持获取安全补丁

*注意:安全补丁将导致远程 SMS 控制功能无法正常运行。升级前请慎重考虑这一影响。

 

防护措施:

  • 尽量减少暴露于网络,以确保无法从互联网访问设备。
  • 需要远程访问时,请使用安全方式,例如虚拟专用网络 (VPN)。
  • 上述所有漏洞的起因都来源于 Web 服务,因此,如果已完成配置,建议暂时禁用 Web 服务,以防止这些漏洞造成进一步损害,直到安装修补程序或更新固件。

 

修订历史:

版本 说明 发布日期
1.0 首次发布 2024 年 9 月 4 日

相关产品

OnCell 3120-LTE-1 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹