2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

CVE-2025-0193:MGate 5121/5122/5123シリーズの格納型クロスサイトスクリプティング(XSS)の脆弱性

  • アドバイザリーID: MPSA-247733
  • バージョン: V1.0
  • 公開日: 2025年1月15日
  • 参考:

    CVE-2025-0193(Moxa) 

MGate 5121/5122/5123シリーズのファームウェアバージョンv1.0には、格納型クロスサイトスクリプティング(XSS)の脆弱性が存在します。これは「ログインメッセージ」機能におけるユーザー入力のサニタイズ(無害化)とエンコードが不十分であることが原因です。管理者アクセス権を持つ認証済み攻撃者は、この脆弱性を悪用して悪意のあるスクリプトを挿入でき、スクリプトがデバイスに継続的に格納されます。これらのスクリプトは、他のユーザーがログインページにアクセスしたときに実行されるため、ユーザーの権限によっては、不正なアクションやその他の影響が生じる可能性があります。


見つかった脆弱性の種類と潜在的な影響

項目 脆弱性の種類 影響
1

CWE-79:Webページ生成時の入力の不適切な中立化(クロスサイトスクリプティング)(CVE-2025-0193)

この脆弱性を悪用すると、ユーザーの権限に応じて、不正なアクションやその他の影響が発生する可能性があります。

脆弱性評価の詳細

ID
ベーススコア
ベクター
重大度

認証されていないリモートエクスプロイト

CVE-2025-0193 

CVSS 4.0: 5.2

AV:N/AC:H/AT:N/PR:H/UI:P/
VC:N/VI:N/VA:N/SC:H/SI:H/SA:H 
なし
影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下のとおりです。

製品シリーズ 影響を受けるバージョン
MGate 5121 シリーズ ファームウェアバージョン 1.0
MGate 5122 シリーズ ファームウェアバージョン 1.0
MGate 5123 シリーズ ファームウェアバージョン 1.0

 

対処方法

Moxaは、この脆弱性に対する適切な対処方法を策定しました。影響を受ける製品への対処方法は以下のとおりです。

製品シリーズ 対処方法
MGate 5121 シリーズ ファームウェアバージョン 2.0以降のバージョンにアップグレードしてください。
MGate 5122 シリーズ ファームウェアバージョン 2.0以降のバージョンにアップグレードしてください。
MGate 5123 シリーズ

ファームウェアバージョン 2.0以降のバージョンにアップグレードしてください。

 

緩和策

  • ネットワークの露出を最小限に抑え、インターネットからデバイスにアクセスできないようにしてください。
  • 管理者アカウントでは強力でユニークなパスワードを使用し、アクセスを信頼できる担当者のみに制限してください。

 

謝辞

Dmitrii Mosichkin氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社にお力添えをいただき、お客様へのより良いサービスの提供にご協力いただきました。この場をお借りして御礼申し上げます。

 

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2025年1月15日

関連製品

MGate 5121シリーズ · MGate 5122シリーズ · MGate 5123シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加