Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01597

Опубликовано: 26 фев. 2024
Источник: fstec
CVSS3: 9
CVSS2: 7.7
EPSS Низкий

Описание

Уязвимость веб-службы микропрограммного обеспечения управляемых коммутаторов серий EDS-4000/G4000 связана с возможностью обхода механизмов контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять запросы к уязвимому устройству и от его имени другим устройствам сети

Вендор

Moxa Inc.

Наименование ПО

EDS-4008
EDS-4009
EDS-4012
EDS-4014
EDS-G4008
EDS-G4012 Series
EDS-G4014 Series

Версия ПО

до 3.2 включительно (EDS-4008)
до 3.2 включительно (EDS-4009)
до 3.2 включительно (EDS-4012)
до 3.2 включительно (EDS-4014)
до 3.2 включительно (EDS-G4008)
до 3.2 включительно (EDS-G4012 Series)
до 3.2 включительно (EDS-G4014 Series)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение веб-службы для ограничения возможности эксплуатации уязвимости;
- ограничение доступа к устройству из внешних сетей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-237129-eds-4000-g4000-series-ip-forwarding-vulnerability?viewmode=0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 47%
0.00245
Низкий

9 Critical

CVSS3

7.7 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-0387

CVSS3: 6.5
nvd
почти 2 года назад

The EDS-4000/G4000 Series prior to version 3.2 includes IP forwarding capabilities that users cannot deactivate. An attacker may be able to send requests to the product and have it forwarded to the target. An attacker can bypass access controls or hide the source of malicious requests.

github логотип

GHSA-8q86-4x73-99v8

CVSS3: 6.5
github
почти 2 года назад

The EDS-4000/G4000 Series prior to version 3.2 includes IP forwarding capabilities that users cannot deactivate. An attacker may be able to send requests to the product and have it forwarded to the target. An attacker can bypass access controls or hide the source of malicious requests.

EPSS

Процентиль: 47%
0.00245
Низкий

9 Critical

CVSS3

7.7 High

CVSS2