本安全公告针对安全路由器中发现的两处漏洞。
CVE-2026-3867
Moxa 安全路由器中发现所有权管理不当漏洞。由于所有权管理不当,已认证的低权限用户可能得以访问包含管理员账户哈希密码的配置文件。攻击者成功利用此漏洞,可获取敏感信息。但只有在特定条件下,即配置文件被导出时,才可能利用此漏洞。此漏洞不会影响受攻击产品的完整性或可用性,且未发现对后续系统的保密性、完整性或可用性造成影响。
CVE-2026-3868
Moxa 安全路由器中发现长度参数不一致处理不当漏洞。由于 HTTPS 管理界面中的长度参数验证不当,未经身份验证的远程攻击者可发送特别伪造的请求,触发缓冲区溢出,导致 Web 服务无法响应。成功利用此漏洞可能导致拒绝服务,需重启设备才能恢复正常运行。虽然成功利用此漏洞可能严重影响受攻击设备的可用性,但未发现对受攻击产品的保密性或完整性造成影响。此外,未发现对后续系统的保密性、完整性或可用性造成影响。
由于 CVE-2026-3868 属于高风险等级,用户应立即执行解决方案,以降低安全风险。
已识别的漏洞类型和潜在影响如下所示
| CVE ID |
漏洞类型 |
影响 |
| CVE-2026-3867 |
CWE-282: 所有权管理不当
|
CAPEC-122: 权限滥用 |
| CVE-2026-3868 |
CWE-130: 长度参数不一致处理不当 |
CAPEC-47: 通过参数扩展造成缓冲区溢出 |
漏洞评分信息
|
CVE ID
|
基础得分
|
漏洞载体
|
严重程度 |
是否无需身份验证
即可远程利用漏洞
|
| CVE-2026-3867 |
CVSS 4.0: 6.0
|
AV:N/AC:L/AT:P/PR:L/UI:N/
VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
|
中 |
否 |
| CVE-2026-3868 |
CVSS 4.0: 8.7 |
AV:N/AC:L/AT:N/PR:N/UI:N/
VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
|
高 |
是 |