Firma Moxa informuje o podatnościach w swoich produktach. (P24-363)

cert.pse-online.pl 3 miesięcy temu

Produkt	Wersja systemu układowego serii EDR-8010 3.12.1 i wcześniejsze wersje Wersja systemu układowego serii EDR-G9004 3.12.1 i wcześniejsze wersje Wersja systemu układowego serii EDR-G9010 3.12.1 i wcześniejsze wersje Wersja systemu układowego serii EDF-G1002-BP 3.12.1 i wcześniejsze wersje Wersja systemu układowego serii NAT-102 1.0.5 i wcześniejsze wersje Wersja systemu układowego serii OnCell G4302-LTE4 3.9 i wcześniejsze wersje Wersja systemu układowego serii TN-4900 3.6 i wcześniejsze wersje Wersja systemu układowego serii EDR-810 5.12.33 i wcześniejsze wersje*
Numer CVE	CVE-2024-9137
Krytyczność	9.4/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H
Opis	Podatny produkt nie ma kontroli uwierzytelniania podczas wysyłania poleceń do serwera za pośrednictwem usługi Moxa. Ta luka umożliwia atakującemu wykonanie określonych poleceń, co potencjalnie może prowadzić do nieautoryzowanych pobrań lub przesłań plików konfiguracyjnych i naruszenia bezpieczeństwa systemu.

Numer CVE	CVE-2024-9139*
Krytyczność	7.2/10
CVSS	AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Opis	Podatny produkt umożliwia wstrzykiwanie poleceń systemu operacyjnego za pośrednictwem nieprawidłowo ograniczonych poleceń, co potencjalnie umożliwia atakującym wykonanie dowolnego kodu.

Aktualizacja	TAK
Link	https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241154-missing-authentication-and-os-command-injection-vulnerabilities-in-routers-and-network-security-appliances