| Produkt | MXview One Series – wersja 1.3.0 i wcześniejsze MXview One Central Manager Series – wersja 1.0.0 |
| Numer CVE | CVE-2024-6785 |
| Krytyczność | 5.5/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Opis | Plik konfiguracyjny przechowuje poświadczenia w postaci jawnego tekstu. Atakujący z lokalnymi prawami dostępu może odczytać lub zmodyfikować plik konfiguracyjny, co potencjalnie może skutkować nadużyciem usługi z powodu ujawnienia poufnych informacji. |
| Numer CVE | CVE-2024-6786 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Opis | Luka umożliwia atakującemu tworzenie wiadomości MQTT, które zawierają sekwencje przechodzenia ścieżki względnej, umożliwiając im odczyt dowolnych plików w systemie. Może to doprowadzić do ujawnienia poufnych informacji, takich jak pliki konfiguracyjne i sekrety podpisywania JWT. |
| Numer CVE | CVE-2024-6787 |
| Krytyczność | 5.3/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N |
| Opis | Ta luka występuje, gdy atakujący wykorzystuje wyścig warunkowy między czasem sprawdzania pliku a czasem jego użycia (TOCTOU). Wykorzystując ten wyścig warunkowy, atakujący może zapisać dowolne pliki w systemie. Może to umożliwić atakującemu wykonanie złośliwego kodu i potencjalnie spowodować utratę plików. |
| Aktualizacja | TAK |
| Link | https://www.moxa.com/en/support/product-support/security-advisory/mpsa-240735-multiple-vulnerabilities-in-mxview-one-and-mxview-one-central-manager-series |
Firma Moxa informuje o podatności w swoich produktach. (P24-309)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny