此安全公告旨在修補 Moxa 乙太網路交換器中的兩個安全漏洞。
CVE-2025-1679
在 Moxa 乙太網路交換器中發現了「跨站腳本(Cross-site Scripting)」的弱點,經驗證且具有管理權限的攻擊者可藉此將惡意腳本注入受影響設備的網頁服務,進而影響與設備網頁介面互動的已驗證使用者。此安全漏洞被歸類為儲存式跨站腳本(XSS),攻擊者會將惡意腳本注入系統,這些腳本會在各個連線中持續存在。受影響設備的機密性、完整性和可用性並未受到影響,亦不會波及後續系統的可用性,但會損失機密性和完整性。
CVE-2025-1680
Moxa 乙太網路交換器出現了一個「接受外部不受信任資料與信任資料混合(Acceptance of Extraneous Untrusted Data With Trusted Data)」的弱點,具有管理權限的攻擊者可在傳送至受影響設備之 Web 服務的 HTTP 請求中,注入經特製的 Host 表頭,從而操控 HTTP Host 表頭。此安全漏洞被歸類為 Host Header Injection,可操控無效的 Host Header 來重新導向使用者、偽造連結,或是發動網路釣魚攻擊。受影響設備的機密性、完整性和可用性並未受到影響,亦不會波及任何後續系統的機密性、完整性和可用性。
由於這些問題的嚴重性為中到低,使用者可評估其環境,並將更新排程於下一個維護或更新週期執行。
已確認的安全漏洞類型和潛在影響
| CVE ID |
安全漏洞類型 |
影響 |
| CVE-2025-1679 |
CWE-79:未適當地中止在網頁產生期間不當的輸入「跨站腳本執行(Cross-site Scripting)」
|
CAPEC-63:跨站腳本(XSS)
|
| CVE-2025-1680 |
CWE-349:接受外部不受信任資料與信任資料混合
|
CAPEC-154:資源位置欺騙
|
安全漏洞評分詳情
|
CVE ID
|
評分
|
向量
|
嚴重性 |
未經身分驗證的
遠端攻擊
|
| CVE-2025-1679 |
CVSS 4.0: 4.8
|
AV:N/AC:L/AT:N/PR:H/UI:P/
VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
|
中 |
否 |
| CVE-2025-1680 |
CVSS 4.0: 0.0 |
AV:N/AC:L/AT:P/PR:L/UI:P/
VC:N/VI:N/VA:N/SC:N/SI:N/SA:N
|
低 |
否 |