Moxa 行動通訊路由器、安全路由器和網路安全設備存在兩個重大安全漏洞,可能造成極大的安全風險。
- CVE-2024-9138:此漏洞涉及寫死的憑證,使得經認證的使用者能夠提升權限,進而以 root 權限存取系統。
- CVE-2024-9140:攻擊者可利用此安全漏洞,利用特殊字元來繞過輸入限制,進而執行未經授權的指令。
我們強烈建議您立即採取行動,以防止潛在的攻擊並降低風險。
已確認的安全漏洞類型和潛在影響
| 項目 |
安全漏洞類型 |
影響 |
| 1 |
CWE-656:依賴隱匿性安全(CVE-2024-9138)
|
寫死的憑證可讓經授權的使用者取得 root 權限,造成系統癱瘓、未經授權的修改、資料外洩,甚或服務中斷等風險。 |
| 2 |
CWE-78:未適當地中止 OS 指令(OS 指令注入「OS Command Injection」)使用特殊字元(CVE-2024-9140) |
受影響的產品允許透過未適當限制的指令進行 OS 指令注入,使得攻擊者可藉此執行任意程式碼。 |
安全漏洞評分詳情
| ID |
評分 |
向量 |
嚴重性 |
未經身分驗證的遠端攻擊 |
| CVE-2024-9138 |
CVSS 3.1: 7.2 |
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
|
高 |
否 |
| CVSS 4.0: 8.6 |
AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
|
| CVE-2024-9140 |
CVSS 3.1: 9.8 |
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
|
高 |
是 |
| CVSS 4.0: 9.3 |
AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
|
註:此安全公告使用 CVSS 3.1 作為衡量嚴重程度的標準,CVSS 4.0 則可作為參考指標,以便進行比較。