Moxa 行動通訊路由器、安全路由器和網路安全設備受到兩個嚴重安全漏洞的影響,可能導致未經授權的存取和系統入侵事件。第一個漏洞 CVE-2024-9137 允許攻擊者利用該漏洞,在未經認證情況下操控設備配置。第二個漏洞 CVE-2024-9139 允許透過因未適當限制的指令而導致 OS 指令注入,攻擊者可藉此執行任意程式碼。這些安全漏洞會帶來重大的安全風險,強烈建議您立即採取行動,以防止潛在的攻擊。
已確認的安全漏洞類型和潛在影響
項目 |
安全漏洞類型 |
影響 |
1 |
CWE-306:缺乏對關鍵功能進行認證
(CVE-2024-9137)
|
受影響的產品在透過 Moxa 服務向伺服器傳送指令時,未進行認證檢查。攻擊者可利用此安全漏洞執行特殊指令,以便下載或上傳未經授權的配置檔,進而危及系統安全。 |
2 |
CWE-78:未適當地中和 OS 指令中使用的特殊字元 (OS 指令注入)
(CVE-2024-9139)
|
受影響的產品允許透過因未適當限制的指令而導致 OS 指令注入,攻擊者可藉此執行任意程式碼。 |
安全漏洞評分詳情
ID |
評分 |
向量 |
未經認證的遠端攻擊 |
CVE-2024-9137 |
CVSS 3.1: 9.4 |
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H |
是 |
CVSS 4.0: 8.8 |
AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N |
CVE-2024-9139 |
CVSS 3.1: 7.2 |
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
否 |
CVSS 4.0: 8.6 |
AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |