本安全公告针对 Moxa 网络安全设备及路由器中发现的五处安全漏洞。
CVE-2025-6892
Moxa 网络安全设备及路由器中发现错误授权漏洞。该设备的 API 验证机制存在缺陷,可能导致未经授权访问到受保护的 API 端点,包括用于管理功能的端点。由于系统无法正确验证会话上下文或权限边界,此漏洞可能会在合法用户登录后被利用。攻击者可利用此漏洞执行未经授权的特权操作。虽然成功利用此漏洞可能严重影响受攻击设备本身的保密性、完整性和可用性,但不会对任何后续系统的保密性或完整性造成损害。
CVE-2025-6893
Moxa 网络安全设备及路由器中发现一处权限执行不当的漏洞。受影响设备的 /api/v1/setting/data 端点存在访问控制破坏漏洞。该缺陷允许已认证的低权限用户在未经必要授权的情况下也能调用 API,从而得以访问或修改系统配置数据。成功利用此漏洞可能导致权限提升,攻击者可借此访问或修改敏感系统设置。虽然整体影响较大,但不会对任何后续系统的保密性或完整性造成损害。
CVE-2025-6894
Moxa 网络安全设备及路由器中发现一处权限执行不当的漏洞。受影响设备的 API 授权逻辑中存在缺陷,允许已认证的低权限用户执行原本仅限于更高权限角色的管理 `ping` 功能。此漏洞使用户能够进行内部网络侦察,可能会发现原本无法访问的内部主机或服务。反复利用此漏洞可能导致少量资源消耗。虽然整体影响有限,但仍可能对受攻击设备的保密性和可用性造成一定损害。此漏洞不会影响设备的完整性,也不会对任何后续系统造成影响。
CVE-2025-6949
Moxa 网络安全设备及路由器中发现一处权限执行不当的漏洞。API 中存在一个严重的授权缺陷,允许已认证的低权限用户创建新的管理员账号,包括与现有用户同名的账号。在某些情况下,攻击者可通过此漏洞全面管控受影响设备,进而可能导致账号冒用。虽然成功利用此漏洞可能严重影响受攻击设备本身的保密性、完整性和可用性,但不会对任何后续系统的保密性或完整性造成损害。
CVE-2025-6950
Moxa 网络安全设备及路由器中发现使用硬编码凭证漏洞。系统采用硬编码密钥,对用于授权验证的 JSON Web 令牌 (JWT) 进行签名。这一不安全设置使未经身份验证的攻击者能伪造有效令牌,从而绕过验证控制并冒充任何用户。利用此漏洞可能导致系统全面被控,造成未授权访问、数据窃取甚至受影响设备被完全管控。虽然成功利用此漏洞可能严重影响受攻击设备本身的保密性、完整性和可用性,但不会对任何后续系统的保密性或完整性造成损害。
由于上述漏洞风险等级高,强烈建议用户立即进行最新固件更新,以降低相关安全风险。
已识别的漏洞类型和潜在影响如下所示
| CVE ID |
漏洞类型 |
影响 |
| CVE-2025-6892 |
CWE-863:
错误授权
|
CAPEC-39:
操纵基于客户端的不透明数据令牌
|
| CVE-2025-6893 |
CWE-250:
不必要权限执行
|
CAPEC-233:
提权
|
| CVE-2025-6894 |
CWE-250:
不必要权限执行
|
CAPEC-233:
提权
|
| CVE-2025-6949 |
CWE-250:
不必要权限执行
|
CAPEC-233:
提权
|
| CVE-2025-6950 |
CWE-798:
使用硬编码凭证
|
CAPEC-37:
检索嵌入式敏感数据
|
漏洞评分信息
|
CVE ID
|
基础得分
|
漏洞载体
|
严重程度 |
是否无需身份验证
即可远程利用漏洞
|
| CVE-2025-6892 |
CVSS:4.0: 8.7
|
AV:N/AC:L/AT:P/PR:N/UI:P/
VC:H/VI:H/VA:H/SC:N/SI:N/SA:H
|
高 |
是 |
| CVE-2025-6893 |
CVSS:4.0: 9.3 |
AV:N/AC:L/AT:N/PR:L/UI:N/
VC:H/VI:H/VA:H/SC:N/SI:N/SA:H
|
严重 |
否 |
| CVE-2025-6894 |
CVSS:4.0: 5.3 |
AV:N/AC:L/AT:N/PR:L/UI:N/
VC:L/VI:N/VA:L/SC:N/SI:N/SA:N
|
中等 |
否 |
| CVE-2025-6949 |
CVSS:4.0: 9.3 |
AV:N/AC:L/AT:N/PR:L/UI:N/
VC:H/VI:H/VA:H/SC:N/SI:N/SA:H
|
严重 |
否 |
| CVE-2025-6950 |
CVSS:4.0: 9.9 |
AV:N/AC:L/AT:N/PR:N/UI:N/
VC:H/VI:H/VA:H/SC:N/SI:N/SA:H
|
严重 |
是 |