自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。
登入
首頁 支援 安全公告 PT-G503 系列多個安全漏洞

產品支援

安全公告

請登入

忘記密碼?
登入
記住我的資料。
還不是會員? 立即註冊
摘要

PT-G503 系列多個安全漏洞

PT-G503 系列韌體版本 v5.2 和更早的版本,受到舊版 jQuery 的多個安全漏洞、弱密碼套件,以及不安全網頁 cookie 的影響。如使用舊版本的 JQuery 和弱密碼套件,而且未正確設定 session cookie 屬性,將導致這些安全漏洞。這些安全漏洞可能以各種方式產生安全風險,例如跨站腳本(XSS)攻擊、原型鏈汙染、資料外洩、未經授權的使用者連線存取等等。


已發現的安全漏洞類型及潛在影響如下所示:

項目 安全漏洞類型 影響
1
未適當地中止在網頁產生期間不當的輸入(「跨站腳本執行」Cross-site Scripting)(CWE-79)
CVE-2015-9251, CVE-2020-11022, CVE-2020-11023 (jQuery) 
 遠端攻擊者可透過網頁介面,將 HTML 或 JavaScript 植入系統。
2
在未適當控制的情況下修改物件原型屬性(「原型鏈汙染」)(CWE-1321)
CVE-2019-11358 (jQuery) 
 攻擊者可注入用於其他元件的屬性。
3
加密強度不足(CWE-326)
CVE-2005-4900 (cipher) 
 攻擊者可能透過欺騙攻擊來解密資料。
4
未具 'HttpOnly' 標記的機密 Cookie(CWE-1004)
CVE-2023-4217 (Cookie) 
 此安全漏洞可能導致安全風險,例如允許未經授權的使用者存取連線資料(session data)。
5
HTTPS 連線未具 'Secure' 屬性的機密 Cookie(CWE-614)
CVE-2023-5035 (Cookie) 
 此安全漏洞可能導致 cookie 以明文形式,經由 HTTP 連線進行傳輸。

 

安全漏洞評分詳情

ID CVSS v3.1 洞評 向量 嚴重性 未經身分認證的遠端攻擊?
CVE-2005-4900  5.9  AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 
CVE-2015-9251  6.1  AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 
CVE-2019-11358  6.1  AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 
CVE-2020-11022  6.9  AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N 
CVE-2020-11023  6.9  AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N 
CVE-2023-4217  3.1  AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N 
CVE-2023-5035  3.1  AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N 

 

受影響的產品和解決方案

受影響的產品

下列為受影響的產品和韌體版本。

產品系列 受影響的版本
PT-G503 系列 韌體版本 5.2 或更早的版本。
PT-7728 系列 韌體版本 3.8 或更早的版本。
PT-7828 系列 韌體版本 3.10 或更早的版本。

 

解決方案

Moxa 針對 CVE-2005-4900、CVE-2015-9251、CVE-2019-11358、CVE-2020-11022 和 CVE-2020-11023 等安全漏洞,開發了適當的修補解決方案,包括更新 jQuery 版本並移除弱密碼套件。下列為受影響產品的解決方案。

產品系列 解決方案
PT-G503 系列 請升級至韌體 v5.3 或最新的版本
PT-7728 系列 請升級至韌體 v3.9 或最新的版本
PT-7828 系列 請升級至韌體 v4.0 或最新的版本

 

防護措施

CVE-2023-4217 和 CVE-2023-5035 的風險等級很低,而且很難禁用 HTTP 連線,因為某些舊式應用情境仍需透過 HTTP 連線來執行。為消除這些安全漏洞,使用者在必須使用 HTTP 時應注意安全。使用 Web 服務時,應以 HTTPS 來取代 HTTP。此外,請參考以下的防護措施,以便針對特定產品的安全情境,部署合適的解決方案。

Moxa 建議使用者遵循 CISA 的建議。

  • 確保所有控制系統設備和系統,都無法透過 Internet 存取,以減輕網路風險。

  • 將控制系統網路和遠端設備置於防火牆之後,然後將它們與企業網路隔離開來。

  • 如需進行遠端存取,請使用虛擬專用網路(VPN)等安全方法。請注意,VPN 可能存在安全漏洞,請務必更新至最新版本。請記住,VPN 的安全性取決於相連之設備的安全性。

 

修訂紀錄

版本 說明 發布日期
1.0 第一版 2023 年 11 月 2 日
1.1 在受影響的產品和解決方案部分添加 PT-7728 和 PT-7828 系列 2024 年 1 月 5 日

相關產品

PT-7728 系列 · PT-7828 系列 · PT-G503 系列 ·

提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞

請勿分享我的個人資訊

若不希望分享您的個人資訊以進行跨情境行為廣告,您可以填寫並送出下方的表格。


請注意,即使您選擇填寫表格,您仍有可能會在其他網站上看到我們的廣告。只是這些廣告將有可能不會與您的興趣有關。

 
 
已加入詢價列表

查看詢價明細

您目前瀏覽的是台灣 / 繁體中文網站。
需要前往適用您所在地的網站?