BDU:2019-03264

Опубликовано: 09 мая 2017

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения модулей удаленного ввода-вывода Moxa ioLogik 2542-HSPA и утилиты конфигурации Moxa Ioxpress Configuration Utility связана с использованием по умолчанию протокола HTTP при реализации метода «Базовая HTTP-авторизациия». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перехватить учетные данные администратора и другую конфиденциальную информацию и получить доступ к системе управления

Вендор

Moxa Inc.

Наименование ПО

Moxa ioLogik 2542-HSPA

Moxa Ioxpress Configuration Utility

Версия ПО

до 3.0 включительно (Moxa ioLogik 2542-HSPA)

до 2.3.0 включительно (Moxa Ioxpress Configuration Utility)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.moxa.com/en/support/support/security-advisory/iologik-2542-hspa-series-ioxpress-vulnerabilities

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-18238
CVE

EPSS

Процентиль: 35%

0.00145

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2019-18238

CVSS3: 7.5

nvd

почти 6 лет назад

In Moxa ioLogik 2500 series firmware, Version 3.0 or lower, and IOxpress configuration utility, Version 2.3.0 or lower, sensitive information is stored in configuration files without encryption, which may allow an attacker to access an administrative account.

GHSA-9g94-m2hg-vj88

github

больше 3 лет назад

Moxa ioLogik 2542-HSPA Series Controllers and IOs, and IOxpress Configuration Utility ioLogik 2500 series firmware, Version 3.0 or lower IOxpress configuration utility, Version 2.3.0 or lower. Sensitive information is stored in configuration files without encryption, which may allow an attacker to access an administrative account.