Firma Moxa informuje o podatnościach w swoich produktach. (P23-228)

utworzone przez | wrz 6, 2023 | ICS

ProduktSeria TN-5900 — wersja oprogramowania sprzętowego v3.3 i wcześniejsze
Seria TN-4900 — wersja oprogramowania sprzętowego v1.2.4 i wcześniejsze
Numer CVECVE-2023-33237
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisLuka ta wynika z nieodpowiednich środków uwierzytelniania zaimplementowanych w procedurze obsługi internetowego interfejsu API, umożliwiających interfejsom API o niskim poziomie uprawnień wykonywanie ograniczonych działań, do których dozwolone są wyłącznie interfejsy API o wysokim poziomie uprawnień. Stwarza to potencjalne ryzyko nieuprawnionego wykorzystania przez złośliwe podmioty.
  
Numer CVECVE-2023-33238
Krytyczność7,2/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
OpisLuka ta wynika z nieprawidłowej weryfikacji danych wejściowych w funkcji zarządzania certyfikatami, co może potencjalnie pozwolić złośliwym użytkownikom na zdalne wykonanie kodu na zagrożonych urządzeniach.
  
Numer CVECVE-2023-33239
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisLuka ta wynika z niewystarczającej weryfikacji danych wejściowych w funkcji generowania klucza, co może potencjalnie pozwolić złośliwym użytkownikom na zdalne wykonanie kodu na zagrożonych urządzeniach.
  
Numer CVECVE-2023-34213
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisLuka ta wynika z niewystarczającej weryfikacji danych wejściowych i nieprawidłowego uwierzytelnienia w funkcji generowania klucza, co może potencjalnie pozwolić złośliwym użytkownikom na zdalne wykonanie kodu na zagrożonych urządzeniach.
  
Numer CVECVE-2023-34214
Krytyczność7,2/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
OpisLuka ta wynika z niewystarczającej weryfikacji danych wejściowych w funkcji generowania certyfikatu, co może potencjalnie pozwolić złośliwym użytkownikom na zdalne wykonanie kodu na zagrożonych urządzeniach.
  
Numer CVECVE-2023-34215
Krytyczność7,2/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
OpisLuka ta wynika z niewystarczającej weryfikacji danych wejściowych i nieprawidłowego uwierzytelnienia w funkcji generowania certyfikatu, co może potencjalnie pozwolić złośliwym użytkownikom na zdalne wykonanie kodu na zagrożonych urządzeniach.
  
Numer CVECVE-2023-34216
Krytyczność8,1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
OpisPrzyczyną tej luki jest niewystarczająca weryfikacja danych wejściowych w funkcji usuwania klucza, co może potencjalnie pozwolić złośliwym użytkownikom na usunięcie dowolnych plików.
  
Numer CVECVE-2023-34217
Krytyczność8,1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
OpisLuka ta wynika z niewystarczającej weryfikacji danych wejściowych w funkcji usuwania certyfikatu, co może potencjalnie pozwolić złośliwym użytkownikom na usunięcie dowolnych plików.
  
AktualizacjaTAK
Linkhttps://www.moxa.com/en/support/product-support/security-advisory/mpsa-230402-tn-5900-and-tn-4900-series-web-server-multiple-vulnerabilities
ProduktSeria MXsecurity — wersja oprogramowania v1.0.1 i wcześniejsze
Numer CVECVE-2023-39979
Krytyczność9,1/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisOsoba atakująca zdalnie może uzyskać dostęp do systemu, jeśli moduł uwierzytelniający usługi sieciowej ma niewystarczające wartości losowe.
  
Numer CVECVE-2023-39980
Krytyczność7,1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
OpisLuka ta powstaje, gdy elementy specjalne nie są prawidłowo neutralizowane, co umożliwia zdalnym atakującym zmianę poleceń SQL.
  
Numer CVECVE-2023-39981
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/D:N
OpisLuka ta wynika z nieodpowiednich środków uwierzytelniania i może prowadzić do ujawnienia informacji o urządzeniu przez osobę atakującą zdalnie.
  
Numer CVECVE-2023-39982
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/D:N
OpisLuka może zagrozić poufności i integralności komunikacji SSH na zagrożonym urządzeniu. Lukę tę przypisuje się zakodowanemu na stałe kluczowi hosta SSH, który może ułatwiać ataki typu man-in-the-middle i umożliwiać odszyfrowanie ruchu SSH.
  
Numer CVECVE-2023-39983
Krytyczność5,3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
OpisLuka ta może umożliwić nieuwierzytelnionemu zdalnemu atakującemu zarejestrowanie lub dodanie urządzeń za pośrednictwem aplikacji nsm-web.
  
AktualizacjaTAK
Linkhttps://www.moxa.com/en/support/product-support/security-advisory/mpsa-230403-mxsecurity-series-multiple-vulnerabilities