自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。

產品支援

安全公告

摘要

CVE-2025-5191: UnCVE-2025-5191:工業電腦(Windows)工具程式中存在未加引號的搜尋路徑漏洞quoted Search Path Vulnerability in the Utility for Industrial Computers (Windows)

此安全公告旨在修補 Moxa 工業電腦(Windows)工具程式中的一個安全漏洞。

CVE-2025-5191

Moxa 工業電腦(Windows)的工具程式存在一個未加引號的搜尋路徑漏洞。由於 SerialInterfaceService.exe 工具程式的路徑設定未加引號,使得權限有限的本地攻擊者,能夠將惡意執行檔,放置於搜尋路徑中優先等級較高的目錄內。一旦啟動 Serial Interface 服務,便能以 SYSTEM 權限執行該惡意執行檔。攻擊者若成功利用此漏洞,將可提升權限,或持續操控受影響的系統。此漏洞雖然會對受影響設備的機密性、完整性與可用性造成嚴重衝擊,但並不會波及後續其他系統的機密性、完整性或可用性。

有鑑於此漏洞的嚴重性,我們強烈建議使用者立即將工具程式,更新至包含修補程式的最新版本,以減輕相關的安全風險。

 

已確認的安全漏洞類型和潛在影響

CVE ID 安全漏洞類型 影響
CVE-2025-5191

CWE-428:未加引號的搜尋路徑或元素

CAPEC-233:權限提升

安全漏洞評分詳情

CVE ID
評分
評分
嚴重性

未經認證的遠端攻擊

CVE-2025-5191

CVSS:4.0: 7.3

AV:L/AC:L/AT:P/PR:L/UI:N/

VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

受影響的產品和解決方案

解決方案

Moxa 已開發了適當的解決方案來修補安全漏洞。下表列出受影響產品的解決方案:

產品系列 受影響的版本 解決方案

DRP-A100 系列

  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows 11 IoT 企業版 LTSC 2024)
  • (Windows 11 專業版 2022)

工具程式

  • v1.1 和更早的版本
  • v1.0 
  • v1.0 

工具程式

  • v1.2 或更高版本
  • v1.1 或更高版本
  • v1.1 或更高版本

DRP-C100 系列

  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows 11 IoT 企業版 LTSC 2024)
  • (Windows 11 專業版 2022)

工具程式

  • v1.1 和更早的版本
  • v1.0
  • v1.0

工具程式

  • v1.2 或更高版本
  • v1.1 或更高版本
  • v1.1 或更高版本

BXP-A100 系列

  • (Windows 11 專業版 2022)
  • (Windows 10 企業版 LTSC 21H2)

工具程式

  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

BXP-A101 系列

  • (Windows 10 企業版 LTSC 21H2)

工具程式

  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

BXP-C100 系列

  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows 11 專業版 2022)

工具程式

  • v1.1 和更早的版本
  • v1.1 和更早的版本

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

DA-681C 系列

  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows 10 IoT 企業版 LTSC 2019)

工具程式

  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

DA-682C 系列

  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows 10 IoT 企業版 LTSC 2019)
  • (Windows 10 IoT 企業版 LTSC 2021,支援 DN-PRP-HSR-I210 模組)
  • (串列介面和 IO 控制器)

工具程式

  • v1.1 和更早的版本 
  • v1.1 和更早的版本 
  • v1.5 和更早的版本
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

DA-720 系列

  • (Windows 10 IoT 企業版 LTSC 2021,支援 DE-PRP-HSR-EF 模組)
  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows 10 的串列介面)
  • (Windows 10 IoT 企業版 LTSC 2019/2021,支援 DE-2-IRIGB-4-DI/DO 模組)

工具程式

  • v1.5 和更早的版本
  • v1.0
  • v1.0
  • v1.2 和更早的版本

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

DA-820C 系列

  • (Windows Server 2022)
  • (Windows Server 2022,支援擴充模組)
  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows 10 IoT 企業版 LTSC 2019 和 Windows Server 2019)
  • (DN-PRP-HSR-I210 模組)
  • (Windows 10 IoT 企業版 LTSC 2021,支援 DA-PRP-HSR-I210 模組)

工具程式

  • v1.0
  • v1.0
  • v1.1 
  • v1.1
  • v1.5
  • v1.5

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

DA-820E 系列

  • (Windows 11 IoT 企業版 LTSC 2024)
  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows Server 2022,支援擴充模組)
  • (Windows 11 IoT 企業版 LTSC 2024,支援擴充模組)
  • (Windows 10 IoT 企業版 LTSC 2021,支援擴充模組)
  • (Windows Server 2022)

工具程式

  • v1.0
  • v1.0
  • v1.0
  • v1.0
  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

MC-1100 系列

  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows Embedded Standard 7 的工具程式)

工具程式

  • v1.0
  • v1.1 和更早的版本

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

MC-1200 系列

  • (串列介面、IO 控制器和 PCIEPowerService)

工具程式

  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe) 

MC-3201 系列

  • (Windows 10 IoT 企業版 LTSC 2019)
  • (Windows 10 IoT 企業版 LTSC 2021)

工具程式

  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

MC-7400 系列 工具程式 v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

RKP-A110 系列

  • (Windows 11 IoT 企業版 LTSC 2024)
  • (Windows 11 專業版 2022)
  • (Windows 10 IoT 企業版 LTSC 2021)

工具程式

  • v1.0
  • v1.1 和更早的版本
  • v1.1 和更早的版本

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

RKP-C110 系列

  • (Windows 11 IoT 企業版 LTSC 2024)
  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows 11 專業版 2022)

工具程式

  • v1.0
  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

V2201 系列

  • (Windows 7 Embedded)

工具程式

  • v1.1 和更早的版本

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

V2403C 系列

  •  (Windows 10)

工具程式

  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

V2406C 系列

  • (Windows 10 企業版 LTSC 21H2)
  • (Windows 10)

工具程式

  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

V3200 系列

  • (Windows 10 企業版 LTSC 21H2)

工具程式

  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

V3400 系列

  • (Windows 10 企業版 LTSC 21H2)
  • (Windows 11 企業版 LTSC 24H2)

工具程式

  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

EXPC-F2000 系列 *

  • (Windows 10 企業版 LTSC 21H2)
  • (Windows 11 企業版 LTSC 24H2)

* 註:EXPC-F2120W 系列、EXPC-F2150W 系列

工具程式

  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

MPC-2070 系列

  • (Windows 7)
  • (Windows 10 IoT 企業版 LTSC 2021)
  • (Windows 10 IoT 企業版 LTSC 2019)
  • (串列介面)
  • (MxOSD)

工具程式

  • v1.0
  • v1.1 和更早的版本
  • v1.1 和更早的版本
  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

MPC-2121 系列

  • (Windows 7)

工具程式

  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

MPC-3000 系列 *

  • (Windows 10 IoT 企業版 LTSC 21H2)
  • (Windows 11 專業版 2023)

* 註:MPC-3100 系列、MPC-3120 系列、MPC-3150 系列、MPC-3070W 系列、MPC-3120W 系列、MPC-3150W 系列

工具程式

  • v1.0
  • v1.0

請聯絡 Moxa 技術支援團隊,以索取安全修補程式。

(SerialInterfaceSetup-6.6.0.exe)

 

緩解措施

我們建議您採取以下行動,以減輕此漏洞帶來的風險:

  • 請參閱「一般安全防護建議」章節,進一步強化安全防護力。

 

一般安全防護建議

為了保護設備和網路安全,我們建議您遵循以下建議,減輕潛在的風險:

  1. 限制網路存取
    • 使用防火牆或存取控制清單(ACL),將通訊限制在可信任的 IP 位址和網路。
    • 透過 VLAN 或實體隔離,將運作中的網路與企業網路等其他網路隔離開來。
  2. 降低曝險程度
    • 避免將設備直接連上 Internet。
    • 關閉未使用的網路服務和埠,以縮小攻擊面。
  3. 增強設備認證和存取控制
    • 部署多重因素認證(MFA),以便控制關鍵系統的存取權限。
    • 使用基於角色的存取控制(RBAC)來執行最小權限原則。
  4. 定期更新韌體和軟體
    • 將設備的韌體版本更新至最新版本並安裝安全修補程式。
    • 建立定期修補管理時程表,以修補新發現的安全漏洞。
  5. 安全的遠端存取
    • 使用加密通訊協定(例如 VPN、SSH)進行遠端存取。
    • 僅限經過授權的人員進行遠端存取,並實施高強度身分驗證機制。
  6. 部署異常偵測技術
    • 監控網路流量和設備行為,及時發現異常或未經授權的活動。
    • 使用可識別異常並提供潛在威脅警報的工具或技術。
  7. 部署記錄和監控機制
    • 啟用設備的事件記錄功能,並做好稽核與追蹤紀錄的維護。
    • 定期檢視日誌,及時發現異常情況和未經授權的存取動作。
  8. 定期進行安全評估
    • 執行安全漏洞評估,以找出潛在風險。
    • 定期檢視設備配置,確保設備符合貴公司的安全政策。

 

致謝

我們要特別感謝 Anni Tuulinen 回報這個安全漏洞,並與我們合作以增強我們的產品安全性,並協助我們努力為客戶提供更優質的服務。

 

修訂紀錄

版本 版本 發布日期
1.0 第一版 2025 年 8 月 25 日

相關產品

BXP-A100 系列 · BXP-A101 系列 · BXP-C100 系列 · DA-681C 系列 · DA-682C 系列 · DA-720 系列 · DA-820C 系列 · DA-820E 系列 · DRP-A100 系列 · DRP-C100 系列 · EXPC-F2120W 系列 · EXPC-F2150W 系列 · MC-1100 系列 · MC-1200 系列 · MC-3201 系列 · MC-7400 系列 · MPC-2070 系列 · MPC-2121 系列 · MPC-3070W 系列 · MPC-3100 系列 · MPC-3120 系列 · MPC-3120W 系列 · MPC-3150 系列 · MPC-3150W 系列 · RKP-A110 系列 · RKP-C110 系列 · V2201 系列 · V2403C 系列 · V2406C 系列 · V3200 系列 · V3400 系列 ·

提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞
已加入詢價列表