MGate 5121/5122/5123シリーズのファームウェアバージョンv1.0には、格納型クロスサイトスクリプティング（XSS）の脆弱性が存在します。これは「ログインメッセージ」機能におけるユーザー入力のサニタイズ（無害化）とエンコードが不十分であることが原因です。管理者アクセス権を持つ認証済み攻撃者は、この脆弱性を悪用して悪意のあるスクリプトを挿入でき、スクリプトがデバイスに継続的に格納されます。これらのスクリプトは、他のユーザーがログインページにアクセスしたときに実行されるため、ユーザーの権限によっては、不正なアクションやその他の影響が生じる可能性があります。

見つかった脆弱性の種類と潜在的な影響

脆弱性評価の詳細

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下のとおりです。

対処方法

Moxaは、この脆弱性に対する適切な対処方法を策定しました。影響を受ける製品への対処方法は以下のとおりです。

緩和策

• ネットワークの露出を最小限に抑え、インターネットからデバイスにアクセスできないようにしてください。
• 管理者アカウントでは強力でユニークなパスワードを使用し、アクセスを信頼できる担当者のみに制限してください。

謝辞

Dmitrii Mosichkin氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社にお力添えをいただき、お客様へのより良いサービスの提供にご協力いただきました。この場をお借りして御礼申し上げます。

改訂履歴