Moxa 乙太網路交換器 EDS-508A 系列使用韌體版本 3.11 和更早的版本,因而存在授權認證機制缺陷,使得攻擊者能輕易繞過身分驗證程序。即便執行了用戶端和後端伺服器雙重認證,攻擊者仍可利用認證過程中的漏洞進行攻擊。他們可使用暴力破解攻擊來猜測有效憑證,或是透過 MD5 碰撞攻擊來偽造身分驗證雜湊值,最終危及設備安全性。
已確認的安全漏洞類型和潛在影響
| 項目 |
安全漏洞類型 |
影響 |
| 1 |
CWE-656:依賴隱匿性安全(CVE-2024-12297)
|
攻擊者可利用此漏洞來避開身分驗證、執行暴力破解或 MD5 碰撞攻擊,並在未經授權情況下存取機密配置,甚或中斷服務。 |
安全漏洞評分詳情
|
ID
|
評分
|
向量
|
嚴重性 |
未經身分驗證的遠端攻擊
|
| CVE-2024-12297 |
9.2
|
AV:N/AC:L/AT:P/PR:N/UI:N/
VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
|
高 |
是 |