Firma Moxa informuje o podatnościach w swoich produktach. (P25-362)

utworzone przez | paź 17, 2025 | ICS

ProduktSeria EDR-G9010 w wersji 3.14 i starsze
Seria EDR-8010 w wersji 3.17 i starsze
Seria EDF-G1002-BP w wersji 3.17 i starsze
Seria TN-4900 w wersji 3.14 i starsze
Seria NAT-102 w wersji 3.17 i starsze
Seria NAT-108 w wersji 3.16 i starsze
Seria OnCell G4302-LTE4 w wersji 3.13 i starsze
Numer CVECVE-2025-6892
Krytyczność8.7/10
CVSSAV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:H
OpisW urządzeniach bezpieczeństwa sieci i routerach firmy Moxa wykryto lukę w zabezpieczeniach związaną z nieprawidłową autoryzacją. Luka w mechanizmie uwierzytelniania API umożliwia nieautoryzowany dostęp do chronionych punktów końcowych API, w tym tych przeznaczonych do funkcji administracyjnych. Luka ta może zostać wykorzystana po zalogowaniu się uprawnionego użytkownika, ponieważ system nieprawidłowo weryfikuje kontekst sesji lub granice uprawnień. Atakujący może wykorzystać tę lukę do wykonywania nieautoryzowanych operacji z uprawnieniami. Chociaż udana eksploatacja może poważnie wpłynąć na poufność, integralność i dostępność samego urządzenia, nie powoduje ona utraty poufności ani integralności w kolejnych systemach.
  
Numer CVECVE-2025-6893
Krytyczność9.3/10
CVSSAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:H
OpisW urządzeniach bezpieczeństwa sieci i routerach firmy Moxa zidentyfikowano lukę w zabezpieczeniach umożliwiającą wykonanie operacji z niepotrzebnymi uprawnieniami. W punkcie końcowym /api/v1/setting/data na danym urządzeniu zidentyfikowano lukę w systemie kontroli dostępu. Luka ta umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach wywołanie interfejsu API bez wymaganych uprawnień, co pozwala mu uzyskać dostęp do danych konfiguracyjnych systemu lub je modyfikować. Skuteczne wykorzystanie luki może doprowadzić do eskalacji uprawnień, umożliwiając atakującemu dostęp do wrażliwych ustawień systemu lub ich modyfikację. Chociaż ogólny wpływ jest wysoki, nie powoduje ona utraty poufności ani integralności w kolejnych systemach.
  
Numer CVECVE-2025-6894
Krytyczność5.3/10
CVSSAV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:L/SC:N/SI:N/SA:N
OpisW urządzeniach bezpieczeństwa sieci i routerach firmy Moxa zidentyfikowano lukę w zabezpieczeniach umożliwiającą wykonanie z niepotrzebnymi uprawnieniami. Błąd w logice autoryzacji API danego urządzenia umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach wykonanie funkcji administracyjnej „ping”, która jest ograniczona do ról o wyższych uprawnieniach. Luka ta umożliwia użytkownikowi przeprowadzenie wewnętrznego rozpoznania sieci, potencjalnie odkrywając wewnętrzne hosty lub usługi, które w innym przypadku byłyby niedostępne. Powtarzające się wykorzystanie luki może prowadzić do niewielkiego zużycia zasobów. Chociaż ogólny wpływ jest ograniczony, może ona skutkować utratą poufności i dostępności na danym urządzeniu. Luka nie ma wpływu na integralność urządzenia i nie ma wpływu na żadne kolejne systemy.
  
Numer CVECVE-2025-6949
Krytyczność9.3/10
CVSSAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:H
OpisW urządzeniach bezpieczeństwa sieci i routerach firmy Moxa zidentyfikowano lukę w zabezpieczeniach umożliwiającą wykonanie z niepotrzebnymi uprawnieniami. Krytyczna luka autoryzacyjna w interfejsie API umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach utworzenie nowego konta administratora, w tym kont o nazwach użytkowników identycznych z istniejącymi. W niektórych scenariuszach luka ta może umożliwić atakującemu uzyskanie pełnej kontroli administracyjnej nad urządzeniem, co może prowadzić do podszywania się pod inne konto. Chociaż udane wykorzystanie luki może poważnie wpłynąć na poufność, integralność i dostępność samego urządzenia, nie powoduje to utraty poufności ani integralności w kolejnych systemach.
  
Numer CVECVE-2025-6950
Krytyczność9,9/10
CVSSAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:H
OpisW urządzeniach bezpieczeństwa sieci i routerach firmy Moxa zidentyfikowano lukę w zabezpieczeniach związaną z wykorzystaniem zakodowanych na stałe danych uwierzytelniających. System wykorzystuje zakodowany na stałe klucz tajny do podpisywania tokenów JSON Web Token (JWT) używanych do uwierzytelniania. Ta niezabezpieczona implementacja pozwala nieuwierzytelnionemu atakującemu na sfałszowanie prawidłowych tokenów, omijając w ten sposób mechanizmy uwierzytelniania i podszywając się pod dowolnego użytkownika. Wykorzystanie tej luki może doprowadzić do całkowitego naruszenia bezpieczeństwa systemu, umożliwiając nieautoryzowany dostęp, kradzież danych i pełną kontrolę administracyjną nad urządzeniem. Chociaż udane wykorzystanie luki może poważnie wpłynąć na poufność, integralność i dostępność samego urządzenia, nie powoduje to utraty poufności ani integralności w kolejnych systemach.
  
AktualizacjaYES
Linkhttps://www.moxa.com/en/support/product-support/security-advisory/mpsa-258121-cve-2025-6892,-cve-2025-6893,-cve-2025-6894,-cve-2025-6949,-cve-2025-6950-multiple-vulnerabilities-in-netwo