SDS-3008 系列若干网络漏洞

登录

产品
工业网络基础设施

以太网交换机

安全路由器

无线 AP/网桥/客户端

蜂窝网关/路由器/调制解调器

以太网接口转换器

网络管理软件

安全远程访问

网络安全产品

工业设备联网

串口设备联网服务器

串口转换器

协议网关

USB 转串口转换器/USB 集线器

多串口卡

控制器和远程 I/O

OPC UA 软件

工业计算

x86 计算机

ARM 架构计算机

平板计算机和显示器

IIoT 网关

系统软件

查看所有产品
解决方案
行业聚焦

智能制造

轨道交通

电力

油气

海事

智能交通

综合管廊

机场

聚焦新技术

助力您的 IIoT 发展

了解我们边缘到云解决方案如何助力您的IIoT发展。
了解更多
支持
产品支持

软件&文档

产品 FAQs

安全公告

软件许可证管理

软件生命周期政策

维修&保修

产品维修服务/RMA

保修条款

资源

下载中心

案例

专家观点

视频中心
您仍需其他帮助？
联系我们
如何购买
联系我们

邮件联系销售代表
关于我们
关于我们

公司简介

企业责任

策略

核心价值观与行为准则

职业发展

新闻与活动

了解 Moxa

创造持久价值

Moxa 致力实践绿色产品政策，确保产品和服务全面符合国际绿色产品规范。
了解更多

加入 Moxa

我们因优秀的员工而成长，因共同的追求而凝聚。
了解更多

概述

SDS-3008 系列若干网络漏洞

SDS-3008 系列 web 服务器受到多个漏洞影响。
远程攻击者可能泄露未授权信息或发起拒绝服务攻击。
远程攻击者可在没有防备的用户的浏览器中执行任意脚本代码。

确定的漏洞类型和潜在影响如下所示:

序号	漏洞类型	影响
1	敏感数据的明文传输 (CWE-319) CVE-2022-40693	Moxa SDS-3008 系列工业以太网交换机 2.1 版本的网络应用程序功能中存在明文传输漏洞。特制的网络嗅探工具会导致敏感信息泄露。攻击者能通过嗅探网络流量触发此漏洞。
2	不充分的资源池 (CWE-410) CVE-2022-40224	Moxa SDS-3008 系列工业以太网交换机 2.1 版本的网络服务器功能中存在拒绝服务漏洞。特制的 HTTP 标头会导致拒绝服务攻击。攻击者能通过发送 HTTP 请求触发此漏洞。
3	在 Web 页面生成时对输入的转义处理不恰当 (CWE-79) CVE-2022-41311，CVE-2022-41312，CVE-2022-41313	Moxa SDS-3008 系列工业以太网交换机 2.1 版本的网络应用程序功能中存在跨站脚本储存漏洞。特制的 HTTP 请求会导致执行任意 JavaScript 代码。攻击者能通过发送 HTTP 请求触发此漏洞。
4	信息暴露 (CWE-200) CVE-2022-40691	Moxa SDS-3008 系列工业以太网交换机 2.1 版本的网络应用程序功能中存在信息披露漏洞。特制的 HTTP 请求会导致敏感信息泄露。攻击者能通过发送 HTTP 请求触发此漏洞。

受影响产品与解决方案

受影响的产品:

受影响的产品和固件版本如下所示：

产品系列	受影响的版本
SDS-3008 系列	固件版本 2.1 或更早版本。

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示：

产品系列	解决方案
SDS-3008 系列	请联系 Moxa 技术支持获取安全补丁。

鸣谢:

感谢 Cisco Talos 团队报告了漏洞，与我们合力提高产品安全性，帮助我们为客户提供更好的服务。

修订历史：

版本	说明	发布日期
1.0	首次发布	Feb 2, 2023

相关产品

SDS-3008 系列 ·

打印此页
保存

您可在 My Moxa 管理和分享已保存列表

漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞，请与我们联系，我们将协助您进行查询。

若选择不向跨场景行为广告共享个人信息，您可以填写并提交下方的表格。

请注意，即使选择填写表格，您仍有可能在其他网站看到我们的广告，但这些广告有可能与您的兴趣无关。

姓*

名*

邮箱*

区域*