1 |
访问控制错误 (CWE-284)
CVE-2020-27149, KLCERT-20-018 |
攻击者可利用这一漏洞,提升其控制的用户权限级别,或接收超出其权限级别的请求。 |
2 |
证书储存未受保护 (CWE-256)
CVE-2020-27150, KLCERT-20-019 |
如果配置文件通过不安全的通讯渠道传输,攻击者可从文件中提取验证证书,再利用此数据通过 Moxa 服务验证,更改设备配置。 |
3 |
明文传输敏感信息 (CWE-319)
CVE-2020-27184, KLCERT-20-020 |
如果客户端与设备之间通过 Telnet 进行通讯往来,攻击者可读取两端传输的所有数据,包括验证证书、设备配置数据、设备版本等敏感数据。 |
4 |
明文传输敏感信息 (CWE-319)
CVE-2020-27185, KLCERT-20-021 |
如果启用 Moxa 服务,攻击者可利用这一漏洞,读取设备传输的所有数据,包括验证数据、设备配置数据、设备版本等敏感数据。 |