自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。
登录
首页 支持 安全公告 CVE-2025-5191:工业计算机 (Windows) 工具存在“未加引号的搜索路径”漏洞

产品支持

安全公告

请登录

忘记密码了?
登录
记住密码
非注册用户? 现在注册
概述

CVE-2025-5191:工业计算机 (Windows) 工具存在“未加引号的搜索路径”漏洞

本安全公告针对 Moxa 工业计算机 (Windows) 工具中存在的一个漏洞。

CVE-2025-5191

Moxa 工业计算机 (Windows) 工具中发现一个“未加引号的搜索路径”漏洞。由于 SerialInterfaceService.exe 工具存在未加引号的路径配置,权限有限的本地攻击者可能将恶意可执行文件植入搜索路径中优先级更高的目录。当串口服务启动时,该恶意可执行文件可能以 SYSTEM 权限运行。成功利用此漏洞可能导致权限提升或使攻击者获得持续访问受影响系统的权限。虽然成功利用此漏洞可能严重影响受攻击设备本身的保密性、完整性和可用性,但不会对任何后续系统的保密性、完整性或可用性造成损害。

鉴于此漏洞的严重性,强烈建议用户立即应用包含此问题修复补丁的最新版工具,以降低相关安全风险。

 

已识别的漏洞类型和潜在影响如下所示

CVE ID 漏洞类型 影响
CVE-2025-5191

CWE-428: 未加引号的搜索路径或元素

 CAPEC-233: 提权

漏洞评分信息

CVE ID
基础得分
漏洞载体
 严重程度

是否无需身份验证

即可远程利用漏洞
CVE-2025-5191

CVSS:4.0: 7.3

AV:L/AC:L/AT:P/PR:L/UI:N/

VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
受影响产品与解决方案

解决方案

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下表所示:

产品系列 受影响的版本 解决方案

DRP-A100 系列

  • (Windows 10 IoT 企业版 LTSC 2021)
  • (Windows 11 IoT 企业版 LTSC 2024)
  • (Windows 11 专业版 2022)

工具

  • 版本 1.1 及更早版本
  • 版本 1.0 
  • 版本 1.0 

工具

  • 版本 1.2 或更新版本
  • 版本 1.1 或更新版本
  • 版本 1.1 或更新版本

DRP-C100 系列

  • (Windows 10 IoT 企业版 LTSC 2021)
  • (Windows 11 IoT 企业版 LTSC 2024)
  • (Windows 11 专业版 2022)

工具

  • 版本 1.1 及更早版本
  • 版本 1.0
  • 版本 1.0

工具

  • 版本 1.2 或更新版本
  • 版本 1.1 或更新版本
  • 版本 1.1 或更新版本

BXP-A100 系列

  • (Windows 11 专业版 2022)
  • (Windows 10 企业版 LTSC 21H2)

工具

  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

BXP-A101 系列

  • (Windows 10 企业版 LTSC 21H2)

工具

  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

BXP-C100 系列

  • (Windows 10 IoT 企业版 LTSC 2021)
  • (Windows 11 专业版 2022)

工具

  • 版本 1.1 及更早版本
  • 版本 1.1 及更早版本

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

DA-681C 系列

  • (Windows 10 IoT 企业版 LTSC 2021)
  • (Windows 10 IoT 企业版 LTSC 2019)

工具

  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

DA-682C 系列

  • (Windows 10 IoT 企业版 LTSC 2021)
  • (Windows 10 IoT 企业版 LTSC 2019)
  • (用于 DN-PRP-HSR-I210 模块的 Windows 10 IoT 企业版 LTSC 2021)
  • (串口和 IO 控制器)

工具

  • 版本 1.1 及更早版本 
  • 版本 1.1 及更早版本 
  • 版本 1.5 及更早版本
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

DA-720 系列

  • (用于 DE-PRP-HSR-EF 模块的 Windows 10 IoT 企业版 LTSC 2021)
  • (Windows 10 IoT 企业版 LTSC 2021)
  • (用于 SerialInterface for Windows 10)
  • (用于 DE-2-IRIGB-4-DI/DO 模块的 Windows 10 IoT 企业版 LTSC 2019/2021)

工具

  • 版本 1.5 及更早版本
  • 版本 1.0
  • 版本 1.0
  • 版本 1.2 及更早版本

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

DA-820C 系列

  • (Windows Server 2022)
  • (用于扩展模块的 Windows Server 2022) 
  • (Windows 10 IoT 企业版 LTSC 2021)
  • (Windows 10 IoT 企业版 LTSC 2019 和 Windows Server 2019)
  • (DN-PRP-HSR-I210 模块)
  • (用于 DA-PRP-HSR-I210 模块的 Windows 10 IoT 企业版 LTSC 2021)

工具

  • 版本 1.0
  • 版本 1.0
  • 版本 1.1 
  • 版本 1.1
  • 版本 1.5
  • 版本 1.5

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

DA-820E 系列

  • (Windows 11 IoT 企业版 LTSC 2024)
  • (Windows 10 IoT 企业版 LTSC 2021)
  • (用于扩展模块的 Windows Server 2022)
  • (用于扩展模块的 Windows 11 IoT 企业版 LTSC 2024)
  • (用于扩展模块的 Windows 10 IoT 企业版 LTSC 2021)
  • (Windows Server 2022)

工具

  • 版本 1.0
  • 版本 1.0
  • 版本 1.0
  • 版本 1.0
  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

MC-1100 系列

  • (Windows 10 IoT 企业版 LTSC 2021)
  • (Windows Embedded Standard 7 工具)

工具

  • 版本 1.0
  • 版本 1.1 及更早版本

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

MC-1200 系列

  • (SerialInterface、IOController 和 PCIEPowerService)

工具

  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe) 

MC-3201 系列

  • (Windows 10 IoT 企业版 LTSC 2019)
  • (Windows 10 IoT 企业版 LTSC 2021)

工具

  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)
MC-7400 系列 工具 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

RKP-A110 系列

  • (Windows 11 IoT 企业版 LTSC 2024)
  • (Windows 11 专业版 2022)
  • (Windows 10 IoT 企业版 LTSC 2021)

工具

  • 版本 1.0
  • 版本 1.1 及更早版本
  • 版本 1.1 及更早版本

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

RKP-C110 系列

  • (Windows 11 IoT 企业版 LTSC 2024)
  • (Windows 10 IoT 企业版 LTSC 2021)
  • (Windows 11 专业版 2022)

工具

  • 版本 1.0
  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

V2201 系列

  • (Windows 7 Embedded)

工具

  • 版本 1.1 及更早版本 

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

V2403C 系列

  • (Windows 10)

工具

  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

V2406C 系列

  • (Windows 10 企业版 LTSC 21H2)
  • (Windows 10)

工具

  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

V3200 系列

  • (Windows 10 企业版 LTSC 21H2)

工具

  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

V3400 系列

  • (Windows 10 企业版 LTSC 21H2)
  • (Windows 11 企业版 LTSC 24H2)

工具

  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

EXPC-F2000 系列 *

  • (Windows 10 IoT 企业版 LTSC 21H2)
  • (Windows 11 专业版 2023)

* 注:EXPC-F2120W 系列、EXPC-F2150W 系列

工具

  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

MPC-2070 系列

  • (Windows 7)
  • (Windows 10 IoT 企业版 LTSC 2021)
  • (Windows 10 IoT 企业版 LTSC 2019)
  • (SerialInterface)
  • (MxOSD)

工具

  • 版本 1.0
  • 版本 1.1 及更早版本
  • 版本 1.1 及更早版本
  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

MPC-2121 系列

  • (Windows 7)

工具

  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

MPC-3000 系列 *

  • (Windows 10 IoT 企业版 LTSC 21H2)
  • (Windows 11 专业版 2023)

* 注:MPC-3100 系列、MPC-3120 系列、MPC-3150 系列、MPC-3070W 系列、MPC-3120W 系列、MPC-3150W 系列

工具

  • 版本 1.0
  • 版本 1.0

请联系 Moxa 技术支持获取安全补丁

(SerialInterfaceSetup-6.6.0.exe)

 

防护措施

为降低与此漏洞相关的风险,我们建议采取以下措施:

  • 参见“一般安全建议”部分,进一步增强安全性。

 

一般安全建议

为保护设备和网络安全,我们建议遵循下列建议,降低潜在风险:

  1. 限制网络访问
    • 通过防火墙或访问控制列表 (ACL) 将通信限制在可信 IP 地址和网络。
    • 通过 VLAN 或物理隔离将操作网络与企业网络等其他网络分隔。
  2. 最大程度减少暴露
    • 避免将设备直接暴露于互联网。
    • 禁用闲置网络服务和端口,缩小攻击面。
  3. 加强设备授权和访问控制
    • 针对关键系统的访问权限,实行多因素认证 (MFA)。
    • 通过基于角色的访问控制 (RBAC),执行最小权限原则。
  4. 定期更新固件和软件
    • 将设备固件更新至最新版本并安装安全补丁。
    • 建立定期补丁管理机制,修复新发现的漏洞。
  5. 安全远程访问
    • 使用 VPN、SSH 等加密通信协议进行远程访问。
    • 仅限获得授权的人员进行远程访问,并执行严格的授权认证机制。
  6. 采用异常检测技术
    • 监测网络流量和设备状态,及时发现异常或未授权活动。
    • 使用可识别异常并提供潜在威胁报警的工具或技术。
  7. 启用日志和监测功能
    • 启用设备的事件日志功能并做好审查跟踪记录的维护。
    • 定期查看日志,及时发现异常情况和未授权访问行为。
  8. 定期进行安全评估
    • 执行漏洞评估,识别潜在风险。
    • 定期检查设备配置,确保符合安全策略。

 

鸣谢

感谢 Anni Tuulinen  报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。

 

修订历史:

版本

说明

发布日期
1.0 First release

2025 年 8 月 25 日

相关产品

BXP-A100 系列 · BXP-A101 系列 · BXP-C100 系列 · DA-681C 系列 · DA-682C 系列 · DA-720 系列 · DA-820E 系列 · DRP-A100 系列 · DRP-C100 系列 · EXPC-F2120W 系列 · EXPC-F2150W 系列 · MC-1100 系列 · MC-1200 系列 · MC-3201 系列 · MC-7400 系列 · MPC-2070 系列 · MPC-2121 系列 · MPC-3070W 系列 · MPC-3100 系列 · MPC-3120 系列 · MPC-3120W 系列 · MPC-3150 系列 · MPC-3150W 系列 · RKP-A110 系列 · RKP-C110 系列 · V2201 系列 · V2403C 系列 · V2406C 系列 · V3400 系列 ·

  •   打印此页

  • 保存
    您可在 My Moxa 管理和分享已保存列表
相关公告
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞

请勿共享我的个人信息

若选择不向跨场景行为广告共享个人信息,您可以填写并提交下方的表格。


请注意,即使选择填写表格,您仍有可能在其他网站看到我们的广告,但这些广告有可能与您的兴趣无关。

 
 
添加至询价

查看询价