自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。

產品支援

安全公告

摘要

多款 Moxa 乙太網路交換器受到 CVE-2023-48795 和 CVE-2019-20372 的影響

多款 Moxa 乙太網路交換器均受到 CVE-2023-48795 和 CVE-2019-20372 安全漏洞的影響。這些安全漏洞帶來了潛在的安全風險,可能危及受影響產品的完整性和功能性。


下列為已發現的安全漏洞類型及潛在影響:

項目 安全漏洞類型 影響
1

未適當地驗證完整性檢查值(CWE-354)

CVE-2023-48795

此漏洞使得遠端的中間人攻擊者能夠繞過完整性檢查,使得連接安全性大幅下滑。
2

HTTP 請求的解讀不一致(「HTTP 請求/回應走私」)(CWE-444)

CVE-2019-20372

此漏洞允許 HTTP 請求走私,導致未經授權的網頁存取、繞過安全控制,也可能引發進一步的攻擊。

安全漏洞評分詳情

ID
CVSS
向量

未經認證的遠端攻擊

CVE-2023-48795

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

CVE-2019-20372 5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

受影響的產品和解決方案

受影響的產品:

下列為受影響的產品和韌體版本。

產品系列 受影響的版本
MDS-G4012 系列 韌體版本 4.0 和更早的版本
MDS-G4020 系列 韌體版本 4.0 和更早的版本
MDS-G4028 系列 韌體版本 4.0 和更早的版本
MDS-G4012-L3 系列 韌體版本 4.0 和更早的版本
MDS-G4020-L3 系列 韌體版本 4.0 和更早的版本
MDS-G4028-L3 系列 韌體版本 4.0 和更早的版本
MDS-G4012-4XGS 系列 韌體版本 4.0 和更早的版本
MDS-G4020-4XGS 系列 韌體版本 4.0 和更早的版本
MDS-G4028-4XGS 系列 韌體版本 4.0 和更早的版本
MDS-G4012-L3-4XGS 系列 韌體版本 4.0 和更早的版本
MDS-G4020-L3-4XGS 系列 韌體版本 4.0 和更早的版本
MDS-G4028-L3-4XGS 系列 韌體版本 4.0 和更早的版本

 

解決方案:

Moxa 已開發了適當的解決方案來修補安全漏洞。以下列出受影響產品的解決方案。

產品系列 解決方案
MDS-G4012 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4020 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4028 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4012-L3 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4020-L3 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4028-L3 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4012-4XGS 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4020-4XGS 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4028-4XGS 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4012-L3-4XGS 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4020-L3-4XGS 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。
MDS-G4028-L3-4XGS 系列 請聯絡 Moxa 技術支援團隊以獲得進一步的協助。

 

緩解措施:

  • 針對 CVE-2023-48795:禁用易受攻擊的擴充程式,以防止攻擊者使用特定漏洞或途徑進行攻擊。此外,部署網路區隔有助於縮小攻擊面,進一步控制潛在的安全漏洞。

  • 針對 CVE-2019-20372:進行適當的配置,確保錯誤頁面能獲得妥善的處理,進而防止漏洞被利用。此外,網頁應用防火牆(WAF)可在潛在的惡意請求到達 NGINX 之前先篩選掉,以提供額外的安全防護。

 

不受影響的產品:

只有本安全公告「受影響的產品」章節中列出的產品,才會受到此安全漏洞的影響。Moxa 已確認這些安全漏洞不會影響以下產品:

  • EDS-205A 系列、EDS-208A 系列、EDS-405A 系列、EDS-408A 系列、EDS-505A 系列、EDS-508A 系列、EDS-510A 系列、EDS-516A 系列、EDS-518A 系列、EDS-G205A 系列、 EDS-P206A 系列、EDS-P510A 系列
  • PT-7528 系列、PT-G503 系列、PT-G510 系列、PT-G7728 系列、PT-G7828 系列
  • 停產產品:PT-7728 系列、PT-7828 系列

 

修訂紀錄:

版本 說明 發布日期
1.0 第一版 2024 年 11 月 1 日
1.1 更新後的解決方案 2024 年 11 月 22 日

相關產品

MDS-G4012 系列 · MDS-G4012-4XGS 系列 · MDS-G4012-L3 系列 · MDS-G4012-L3-4XGS 系列 · MDS-G4020 系列 · MDS-G4020-4XGS 系列 · MDS-G4020-L3 系列 · MDS-G4020-L3-4XGS 系列 · MDS-G4028 系列 · MDS-G4028-4XGS 系列 · MDS-G4028-L3 系列 · MDS-G4028-L3-4XGS 系列 ·

提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞
已加入詢價列表