MDS-G4028-L3 系列和 EDS-G512E 系列存在安全漏洞,可能帶來潛在的安全風險。MDS-G4028-L3 系列存在允許未經授權的存取(CVE-2023-48795),以及使用已過時的 Nginx 軟體(CVE-2021-23017、CVE-2021-3618 和 CVE-2019-20372),使其暴露於未修補的威脅之下。EDS-G512E 系列受到較弱的 SSL/TLS 密鑰交換的影響,可能危害加密通訊,或導致資料遭到攔截。
下列為已發現的安全漏洞類型及潛在影響:
| 項目 |
安全漏洞類型 |
影響 |
| 1 |
CWE-354完整性檢查驗證不當(CVE-2023-48795)
|
完整性檢查通常使用密鑰來驗證資料來源。跳過完整性檢查,意味著有可能被注入來自無效來源的新資料。 |
| 2 |
CWE-193 Off-by-one 錯誤(CVE-2021-23017) |
此漏洞通常會導致未定義的行為,使得整體系統崩潰。如果牽涉到循環索引變數的溢位情況,則出現無限循環的可能性很高。 |
| 3 |
CWE-295 未適當地執行憑證驗證(CVE-2021-3618) |
攻擊者可繞過保護機制、取得權限或冒充身分。 |
| 4 |
CWE-444 HTTP 請求的解讀不一致(「HTTP 請求/回應走私」)(CVE-2019-20372) |
攻擊者可建立 HTTP 訊息來利用下列弱點:1)這些訊息可誘騙網頁伺服器,將一個 URL 與另一個 URL 的網頁相聯,並快取網頁內容(網頁快取中毒攻擊);2)所建立的訊息可用於繞過防火牆保護機制,進一步取得未經授權的網頁存取權;3)這些訊息可呼叫腳本、回傳用戶端憑證的頁面(類似於跨站腳本攻擊)。 |
| 5 |
CWE-326:加密強度不足 |
攻擊者可能會使用暴力破解法來解密資料。 |
安全漏洞評分詳情
|
ID
|
評分
|
向量
|
未經認證的遠端攻擊
|
| CVE-2023-48795 |
5.9
|
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
|
是 |
| CVE-2021-23017 |
7.7 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L |
是 |
| CVE-2021-3618 |
7.4 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
是 |
| CVE-2019-20372 |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
是 |