Moxa 蜂窝路由器、安全路由器及网络安全设备存在两个关键漏洞,可能导致未授权访问和系统受损。未经授权的攻击者可利用漏洞一 (CVE-2024-9137) 在未经认证的情况下进行设备配置。攻击者可利用漏洞二 (CVE-2024-9139),通过未适当限制的命令进行 OS 命令注入,从而有可能执行任意代码。这些漏洞带来重大安全风险,强烈建议立即采取措施,防止遭受攻击。
确定的漏洞类型和潜在影响如下所示:
| 序号 |
漏洞类型 |
影响 |
| 1 |
CWE-306: 缺乏关键功能的身份验证
(CVE-2024-9137)
|
受影响产品经由 Moxa 服务向服务器发送命令时缺乏身份验证检查。攻击者可利用此漏洞执行特定命令,可能导致未授权下载或上传配置文件以及系统受损。 |
| 2 |
CWE-78: 未正确中和 OS 命令中使用的特殊元素(“OS 命令注入”)
(CVE-2024-9139)
|
受影响的产品允许通过未适当限制的命令进行 OS 命令注入,从而使攻击者有可能执行任意代码。 |
漏洞评分信息
| ID |
CVSS |
漏洞载体 |
是否无需身份验证即可远程利用漏洞 |
| CVE-2024-9137 |
CVSS 3.1: 9.4 |
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H |
是
|
| CVSS 4.0: 8.8 |
AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N |
| CVE-2024-9139 |
CVSS 3.1: 7.2 |
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
否
|
| CVSS 4.0: 8.6 |
AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |