自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。

產品支援

安全公告

摘要

SDS-3008 系列存在多個安全漏洞

SDS-3008 系列韌體版本 v2.2 和更早的版本,受到舊版 jQuery 中多個安全漏洞的影響。這些安全漏洞可能以多種方式,例如跨站腳本(XSS)攻擊和原型鏈污染(Prototype Pollution),對安全性造成威脅。

已確認的安全漏洞類型和潛在影響

項目 安全漏洞類型 影響
1
未適當地中止在網頁產生期間不當的輸入(「跨站腳本執行」Cross-site Scripting)(CWE-79)
 
CVE-2015-9251、CVE-2020-11022、CVE-2020-11023 (jQuery)
攻擊者可透過網頁介面,從遠端將 HTML 和 JavaScript 植入系統,觸發 text/javascript 可被執行。
2
在未適當控制的情況下修改物件原型屬性(「原型鏈汙染」Prototype Pollution)(CWE-1321)
 
CVE-2019-11358 (jQuery)
攻擊者可注入屬性,導致可以被其他元件所利用,以執行跨站腳本(XSS)攻擊。

安全漏洞評分詳情

ID
CVSS v3.1 評分
向量
未經身分認證的遠端攻擊
CVE-2015-9251

6.1

AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CVE-2019-11358 6.1 AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CVE-2020-11022 6.9 AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N
CVE-2020-11023 6.9 AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N
受影響的產品和解決方案

受影響的產品

下列為受影響的產品和韌體版本。

產品系列 受影響的版本
SDS-3008 系列 韌體版本 2.2 或更早的版本。

 

解決方案

Moxa 已開發了適當的解決方案,藉由更新 jQuery 版本並移除弱加密套件,來修補安全漏洞。下列為受影響產品的解決方案。

產品系列 解決方案
SDS-3008 系列 請聯絡 Moxa 技術支援團隊,以索取安全修補程式

 

緩解措施

Moxa 建議使用者遵循 CISA 的建議。

  • 確保所有控制系統設備和系統,都無法透過 Internet 存取,以減輕網路風險。
  • 將控制系統網路和遠端設備置於防火牆之後,同時將它們與企業網路隔離開來。
  • 如需進行遠端存取,請使用虛擬專用網路(VPN)等安全方法。請注意,請務必將您的 VPN 更新至最新版本,以避免出現任何安全漏洞。請牢記,VPN 的安全性取決於相連之設備的安全性。

 

不受影響的產品

只有本安全公告「受影響的產品」章節中列出的產品,才會受到此安全漏洞的影響。Moxa 已確認此安全漏洞不會影響下列產品:

  • TN-4500A 系列、TN-5500A 系列
  • TN-4900 系列
  • PT-G503 系列、PT-7728 系列、PT-7828 系列

 

修訂紀錄

版本 說明 發布日期
1.0 第一版 2024 年 6 月 19 日

相關產品

SDS-3008 系列 ·

提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞
已加入詢價列表