Moxa 蜂窩路由器�����、安全路由器及網(wǎng)絡(luò)安全設(shè)備存在兩個(gè)關(guān)鍵漏洞,可能導(dǎo)致未授權(quán)訪問和系統(tǒng)受損��。未經(jīng)授權(quán)的攻擊者可利用漏洞一 (CVE-2024-9137) 在未經(jīng)認(rèn)證的情況下進(jìn)行設(shè)備配置��。攻擊者可利用漏洞二 (CVE-2024-9139)����,通過未適當(dāng)限制的命令進(jìn)行 OS 命令注入,從而有可能執(zhí)行任意代碼�。這些漏洞帶來(lái)重大安全風(fēng)險(xiǎn),強(qiáng)烈建議立即采取措施�����,防止遭受攻擊�����。
確定的漏洞類型和潛在影響如下所示:
| 序號(hào) |
漏洞類型 |
影響 |
| 1 |
CWE-306: 缺乏關(guān)鍵功能的身份驗(yàn)證
(CVE-2024-9137)
|
受影響產(chǎn)品經(jīng)由 Moxa 服務(wù)向服務(wù)器發(fā)送命令時(shí)缺乏身份驗(yàn)證檢查��。攻擊者可利用此漏洞執(zhí)行特定命令���,可能導(dǎo)致未授權(quán)下載或上傳配置文件以及系統(tǒng)受損�����。 |
| 2 |
CWE-78: 未正確中和 OS 命令中使用的特殊元素(“OS 命令注入”)
(CVE-2024-9139)
|
受影響的產(chǎn)品允許通過未適當(dāng)限制的命令進(jìn)行 OS 命令注入��,從而使攻擊者有可能執(zhí)行任意代碼����。 |
漏洞評(píng)分信息
| ID |
CVSS |
漏洞載體 |
是否無(wú)需身份驗(yàn)證即可遠(yuǎn)程利用漏洞 |
| CVE-2024-9137 |
CVSS 3.1: 9.4 |
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H |
是
|
| CVSS 4.0: 8.8 |
AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N |
| CVE-2024-9139 |
CVSS 3.1: 7.2 |
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
否
|
| CVSS 4.0: 8.6 |
AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |