自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

产品支持

安全公告

概述

CVE-2025-0193:MGate 5121/5122/5123 系列中存在存储型跨站脚本攻击 (XSS) 漏洞

  • 安全公告编号: MPSA-247733
  • 版本: V1.0
  • 发布日期: 2025年1月15日
  • 参考:

    CVE-2025-0193 (Moxa) 

MGate 5121/5122/5123 系列固件版本 v1.0 存在一处存储型跨站脚本攻击 (XSS) 漏洞,原因是“登录信息”功能未能充分清洗并编码用户输入内容。具有管理员权限的攻击者可利用此漏洞向设备注入恶意脚本。这些脚本将持续存储在设备中,且会在其他用户访问登录页面时被执行,导致未经授权的操作或其他影响,具体后果取决于用户的权限级别。


确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1

CWE-79: 网页生成过程中未正确中和输入(“跨站脚本”) (CVE-2025-0193) 

利用此漏洞可能导致未经授权的操作或其他影响,具体后果取决于用户的权限级别。

漏洞评分信息

ID
基础得分 
漏洞载体 严重程度 是否无需身份验证即可远程利用漏洞
CVE-2025-0193 

CVSS 4.0: 5.2

AV:N/AC:H/AT:N/PR:H/UI:P/
VC:N/VI:N/VA:N/SC:H/SI:H/SA:H 
中等
受影响产品与解决方案

受影响的产品:

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
MGate 5121 系列  固件版本 1.0
MGate 5122 系列  固件版本 1.0
MGate 5123 系列  固件版本 1.0

 

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
MGate 5121 系列  升级至固件版本 2.0 或更新版本
MGate 5122 系列  升级至固件版本 2.0 或更新版本
MGate 5123 系列 

升级至固件版本 2.0 或更新版本

 

防护措施:

  • 尽量减少暴露于网络,以确保无法从互联网访问设备。
  • 确保管理员账户使用唯一且强度高的密码,并仅限信任人员访问账户。

 

鸣谢:

感谢 Dmitrii Mosichkin 报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。

 

修订历史:

版本 说明 发布日期
1.0 首次发布 2025 年 1 月 15 日

相关产品

MGate 5121 系列 · MGate 5122 系列 · MGate 5123 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹