自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

产品支持

安全公告

概述

SDS-3008 系列多个安全漏洞

SDS-3008 系列固件版本 2.2 及更早版本受到旧版jQuery中多个漏洞的影响,可能让您面临诸多安全风险,如跨站脚本 (XSS) 攻击、原型污染等。

确定的漏洞类型和潜在影响:

序号 漏洞类型 影响
1
在网页页面生成期间未正确中和输入(“跨站脚本”)(CWE-79)
 
CVE-2015-9251, CVE-2020-11022, CVE-2020-11023 (jQuery)
远程攻击者可通过 Web 接口将 HTML 或 JavaScript 插入系统,从而导致 text/javascript 被执行。
2
对象原型属性修改的不恰当控制(原型污染)(CWE-1321)
 
CVE-2019-11358 (jQuery)
攻击者可植入用于其他组件的属性以执行跨站脚本 (XSS) 攻击。

漏洞评分信息

ID
CVSS V3.1
得分
漏洞载体
严重程度
是否无需身份验证即可远程利用漏洞
CVE-2015-9251

6.1

AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 中等
CVE-2019-11358 6.1 AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 中等
CVE-2020-11022 6.9 AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N 中等
CVE-2020-11023 6.9 AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N 中等
受影响产品与解决方案

受影响的产品:

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
SDS-3008 系列 固件版本 2.2 及更早版本。

 

解决方案:

Moxa 已制定合理方案修复上述漏洞,如更新 jQuery 版本、删除弱密码套件等。针对受影响产品的解决方案如下所示:

产品系列 解决方案
SDS-3008 系列 请联系 Moxa 技术支持获取安全补丁

 

防护措施:

Moxa 建议用户遵循 CISA 的建议。

  • 确保所有控制系统设备和系统无法通过互联网访问来减少网络暴露。
  • 将控制系统网络和远程设备置于防火墙后,与业务网络隔离。
  • 需要远程访问时,请使用安全方式,例如虚拟专用网络 (VPN)。要注意,VPN 可能存在漏洞,应与最新的可用版本保持同步。VPN 的安全性取决于其连接设备的安全性。

 

不受上述漏洞影响的产品:

只有此公告的“受影响的产品”部分中列出的产品会受到上述漏洞的影响。Moxa 已确认这些漏洞不会影响以下产品:

  • TN-4500A 系列、 TN-5500A 系列
  • TN-4900 系列
  • PT-G503 系列、PT-7728 系列、PT-7828 系列

 

修订历史:

版本 说明 发布日期
1.0 首次发布 2024 年 6 月 19 日

相关产品

SDS-3008 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹