Firma Moxa informuje o podatnościach w swoich produktach. (P25-280)

utworzone przez | sie 27, 2025 | ICS

ProduktDRP-A100 Series Utility v1.1 i wcześniejsze, v1.0, v1.0
DRP-C100 Series Utility v1.1 i wcześniejsze, v1.0, v1.0
BXP-A100 Series Utility v1.0, v1.0 BXP-A101
Series Utility v1.0 BXP-C100
Series Utility v1.1 i wcześniejsze DA-681C
Series Utility v1.0, v1.0 DA-682C
Series Utility v1.1 i wcześniejsze, v1.5 i wcześniejsze, v1.0 DA-720
Series Utility v1.5 i wcześniejsze, v1.0, v1.2 i wcześniejsze DA-820C
Series Utility v1.0, v1.1, v1.5 DA-820E
Series Utility v1.0 MC-1100
Series Utility v1.0, v1.1 i wcześniejsze MC-1200
Series Utility v1.0 MC-3201
Series Utility v1.0, v1.0 MC-7400
Series Utility v1.0 RKP-A110
Series Utility v1.0, v1.1 i wcześniejsze RKP-C110
Series Utility v1.0 V2201
Series Utility v1.1 i wcześniejsze V2403C
Series Utility v1.0 V2406C
Series Utility v1.0 V3200
Series Utility v1.0 V3400
Series Utility v1.0 EXPC-F2000
Series Utility v1.0 MPC-2070
Series Utility v1.0, v1.1 i wcześniejsze MPC-2121
Series Utility v1.0
Numer CVECVE-2025-5191
Krytyczność7.3/10
CVSSAV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
OpisW narzędziu dla komputerów przemysłowych firmy Moxa (Windows) zidentyfikowano lukę w zabezpieczeniach związaną z niezacytowaną ścieżką wyszukiwania. Ze względu na konfigurację niezacytowanej ścieżki w narzędziu SerialInterfaceService.exe, lokalny atakujący z ograniczonymi uprawnieniami mógłby umieścić złośliwy plik wykonywalny w katalogu o wyższym priorytecie w ścieżce wyszukiwania. Po uruchomieniu usługi Serial Interface złośliwy plik wykonywalny mógłby zostać uruchomiony z uprawnieniami SYSTEM. Skuteczne wykorzystanie luki mogłoby umożliwić eskalację uprawnień lub umożliwić atakującemu utrzymanie się w zaatakowanym systemie. Chociaż udane wykorzystanie luki może poważnie wpłynąć na poufność, integralność i dostępność samego zaatakowanego urządzenia, nie powoduje to utraty poufności, integralności ani dostępności w kolejnych systemach.
  
AktualizacjaTAK
Linkhttps://www.moxa.com/en/support/product-support/security-advisory/mpsa-256421-cve-2025-5191-unquoted-search-path-vulnerability-in-the-utility-for-industrial-computers-(windows)