Firma Moxa informuje o podatności w swoich produktach. (P24-309)

cert.pse-online.pl 2 miesięcy temu
ProduktMXview One Series – wersja 1.3.0 i wcześniejsze
MXview One Central Manager Series – wersja 1.0.0
Numer CVECVE-2024-6785
Krytyczność5.5/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisPlik konfiguracyjny przechowuje poświadczenia w postaci jawnego tekstu. Atakujący z lokalnymi prawami dostępu może odczytać lub zmodyfikować plik konfiguracyjny, co potencjalnie może skutkować nadużyciem usługi z powodu ujawnienia poufnych informacji.
Numer CVECVE-2024-6786
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisLuka umożliwia atakującemu tworzenie wiadomości MQTT, które zawierają sekwencje przechodzenia ścieżki względnej, umożliwiając im odczyt dowolnych plików w systemie. Może to doprowadzić do ujawnienia poufnych informacji, takich jak pliki konfiguracyjne i sekrety podpisywania JWT.
Numer CVECVE-2024-6787
Krytyczność5.3/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N
OpisTa luka występuje, gdy atakujący wykorzystuje wyścig warunkowy między czasem sprawdzania pliku a czasem jego użycia (TOCTOU). Wykorzystując ten wyścig warunkowy, atakujący może zapisać dowolne pliki w systemie. Może to umożliwić atakującemu wykonanie złośliwego kodu i potencjalnie spowodować utratę plików.
AktualizacjaTAK
Linkhttps://www.moxa.com/en/support/product-support/security-advisory/mpsa-240735-multiple-vulnerabilities-in-mxview-one-and-mxview-one-central-manager-series
Idź do oryginalnego materiału