芭拉直播官方版_芭拉直播平台官方app下载_芭拉直播免费版app下载

自 2022 年 6 月 15 日起,本網(wǎng)站不再支持 Internet Explorer。 請使用其他瀏覽器訪問我們的網(wǎng)站,以獲得最佳的瀏覽體驗。
登錄
首頁 支持 安全公告 TN-5900 和 TN-4900 系列 Web 服務(wù)器漏洞

產(chǎn)品支持

安全公告

概述

TN-5900 和 TN-4900 系列 Web 服務(wù)器漏洞

TN-5900 系列 3.3 之前的版本 和TN-4900 系列 1.2.4 之前的版本受到多個 Web 服務(wù)器漏洞的影響。不充分的輸入驗證會導(dǎo)致這些漏洞。攻擊者可以通過向 Web 服務(wù)發(fā)送特制的信息來利用這些漏洞。如果成功被利用,這些漏洞可能導(dǎo)致拒絕服務(wù)、遠(yuǎn)程代碼執(zhí)行和權(quán)限提升。

確定的漏洞類型和潛在影響如下所示: 

序號 漏洞類型 影響
1

授權(quán)不當(dāng) (CWE-287) 

CVE-2023-33237 

 攻擊者可使用暴力破解來攻破身份驗證參數(shù)。
2

對命令中使用的特殊元素中和不當(dāng)(“命令注入”) (CWE-77) 

CVE-2023-33238, CVE-2023-33239, CVE-2023-34213, CVE-2023-34214, CVE-2023-34215 

 遠(yuǎn)程攻擊者可通過 Web 接口在設(shè)備上執(zhí)行任意命令。
3

路徑名對受限目錄的不當(dāng)限制(“路徑遍歷”) (CWE-22) 

CVE-2023-34216, CVE-2023-34217 

 攻擊者可創(chuàng)建或覆蓋執(zhí)行代碼的關(guān)鍵文件,比如程序或程序庫。

 

漏洞評分信息

ID CVSS v3.1 漏洞載體 無需身份驗證即可遠(yuǎn)程利用漏洞?
CVE-2023-33237  8.8  AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 
CVE-2023-33238  7.2  AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 
CVE-2023-33239  8.8  AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 
CVE-2023-34213  8.8  AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 
CVE-2023-34214  7.2  AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 
CVE-2023-34215  7.2  AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 
CVE-2023-34216  8.1  AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H 
CVE-2023-34217  8.1  AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H 
受影響產(chǎn)品與解決方案

受影響的產(chǎn)品:

受影響的產(chǎn)品和固件版本如下所示:

產(chǎn)品系列 受影響的版本
TN-5900 系列

固件版本 3.3 及更早版本

CVE-2023-33237, CVE-2023-33238, CVE-2023-33239, CVE-2023-34213, CVE-2023-34214, CVE-2023-34215, CVE-2023-34216, CVE-2023-34217 
TN-4900 系列

固件版本 1.2.4 及更早版本

CVE-2023-33238, CVE-2023-33239, CVE-2023-34214, CVE-2023-34216, CVE-2023-34217 
EDR-810 系列

固件版本 5.12.27 及更早版本

CVE-2023-33238, CVE-2023-33239, CVE-2023-34214
EDR-G902 系列

固件版本 5.7.17 及更早版本

CVE-2023-33238, CVE-2023-33239, CVE-2023-34214, CVE-2023-34216, CVE-2023-34217 
EDR-G903 系列

固件版本 5.7.15 及更早版本

CVE-2023-33238, CVE-2023-33239, CVE-2023-34214, CVE-2023-34216, CVE-2023-34217 
EDR-G9010 系列

固件版本 2.1 及更早版本

CVE-2023-33238, CVE-2023-33239, CVE-2023-34216, CVE-2023-34217 
NAT-102 系列

固件版本 1.0.3 及更早版本

CVE-2023-33238, CVE-2023-33239, CVE-2023-34216, CVE-2023-34217

 

解決方案:

Moxa 已制定合理方案修復(fù)上述漏洞。針對受影響產(chǎn)品的解決方案如下所示:

產(chǎn)品系列 解決方案
TN-5900 系列 請升級至固件 版本 3.4 或更高版本
TN-4900 系列
請升級至固件 版本 3.0 或更高版本
EDR-810 系列 請升級至固件 版本 5.12.29 或更高版本
EDR-G902 系列 請升級至固件 版本 5.7.21 或更高版本
EDR-G903 系列 請升級至固件 版本 5.7.21 或更高版本
EDR-G9010 系列 請升級至固件 版本 3.0 或更高版本
NAT-102 系列 請升級至固件 版本 1.0.5 或更高版本

 

防護(hù)措施:

  • 盡量減少暴露于網(wǎng)絡(luò),以確保無法從互聯(lián)網(wǎng)訪問設(shè)備。

  • 需要遠(yuǎn)程訪問時,請使用安全方式,例如虛擬專用網(wǎng)絡(luò) (VPN)。

  • 上述所有漏洞的起因都來源于 Web 服務(wù),因此,如果已完成配置,建議暫時禁用 Web 服務(wù),直到安裝補(bǔ)丁或更新固件,以防止這些漏洞造成進(jìn)一步損害。

 

已確認(rèn)不受上述漏洞影響的產(chǎn)品:

只有此公告的“受影響的產(chǎn)品”部分中列出的產(chǎn)品會受到上述漏洞的影響。

 

鳴謝:

感謝 Code White 公司的 Simon Janz 報告了漏洞,與我們合力提高產(chǎn)品安全性,幫助我們?yōu)榭蛻籼峁└玫姆?wù)。

 

修訂歷史:

版本 說明 發(fā)布日期
1.0 首次發(fā)布 2023 年 8 月 16 日
1.1 更新 TN-4900 系列解決方案 2023 年 9 月 4 日
1.2 “受影響的產(chǎn)品”和“解決方案”部分增加 EDR-810 系列、EDR-G902 系列、EDR-G903 系列、EDR-G9010 系列、NAT-102 系列 2023 年 10 月 20 日

相關(guān)產(chǎn)品

EDR-810 系列 · EDR-G9010 系列 · EDR-G902 系列 · EDR-G903 系列 · NAT-102 系列 · TN-4900 系列 · TN-5900 系列 ·

  •   打印此頁

  • 保存
    您可在 My Moxa 管理和分享已保存列表
漏洞修復(fù)

如果您擔(dān)心 Moxa 產(chǎn)品可能存在安全漏洞,請與我們聯(lián)系,我們將協(xié)助您進(jìn)行查詢。

報告漏洞

請勿共享我的個人信息

若選擇不向跨場景行為廣告共享個人信息,您可以填寫并提交下方的表格。


請注意,即使選擇填寫表格,您仍有可能在其他網(wǎng)站看到我們的廣告,但這些廣告有可能與您的興趣無關(guān)。

 
添加至收藏夾