产品支持

安全公告

概述

MXview 系列网络管理软件漏洞

  • 版本: V1.0
  • 发布日期: 2021年9月17日
  • 参考:
    • N/A

Moxa MXview 系列中发现一些产品漏洞。为此,Moxa 制定了相关修复方案。

确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1 利用配置不当的服务,远程连接内部通讯渠道。 未经授权的用户可远程介入或使用 MQTT。
2 使用硬编码默认密码 (CWE-259)。 如果使用硬编码密码,那么恶意用户可借助使用默认密码的帐户进行访问。
3 利用对特殊元素的不当中和,远程执行代码。 攻击者可执行未经授权的命令来禁用软件,或读取、篡改其无权直接访问的数据。
4 利用对受限目录路径名的不当限制,远程执行命令/代码
(“路径遍历”) (CWE-22).
攻击者可创建或重写用于执行代码的关键文件,例如程序或程序库等。
5 未经授权的用户利用对受限目录路径名的不当限制读取文件(”路径遍历”)(CWE-22)。 攻击者可创建或重写用于执行代码的关键文件,例如程序或程序库等。
6 未经授权的用户利用对受限目录路径名的不当限制读取文件(“路径遍历”)(CWE-22)。 攻击者可创建或重写用于执行代码的关键文件,例如程序或程序库等。
7 利用对受限目录路径名的不当限制,读取文件(“路径遍历”)(CWE-22)。 攻击者可创建或重写用于执行代码的关键文件,例如程序或程序库等。
8 利用对受限目录路径名的不当限制,编辑文件(“路径遍历”)(CWE-22)。 攻击者可创建或重写用于执行代码的关键文件,例如程序或程序库等。
9 证书传输不受保护,导致密码泄露 (CWE-523)。 攻击者可获取权限或盗用其他用户的身份。

 

受影响产品与解决方案

受影响的产品

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
MXview 系列 软件包版本 3.x 至 3.2.2。

 

解决方案

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

Product Series Solutions
MXview 系列
  1. 请更新至软件包版本 3.2.4 或更新版本。 (下载链接)
  2. 为确保环境安全,请定期修改 Windows 系统的密码并设置防火墙。
  3. 如果需要使用多站点功能,我们建议用户使用防火墙来屏蔽 8883 端口。如果没有这一需求,我们建议用户使用防火墙在客户端站点分配可访问 MXview 设备的 IP。

鸣谢

感谢美国 Claroty 公司的 Noam Moshe 先生报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。

修订历史

版本 描述 发布日期
1.0 首次发布 2021 年 9 月 17 日

相关产品

MXview 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹