Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00075

Опубликовано: 03 янв. 2025
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения сетевых устройств Moxa EDR-8010, EDR-G9004, EDR-G9010, EDF-G1002-BP, NAT-102, OnCell G4302-LTE4, TN-4900 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированных команд в веб-интерфейс управления устройства

Вендор

Moxa Inc.

Наименование ПО

EDR-8010
EDR-G9004
EDR-G9010
EDF-G1002-BP
NAT-102
OnCell G4302-LTE4
TN-4900

Версия ПО

до 3.13.1 включительно (EDR-8010)
до 3.13.1 включительно (EDR-G9004)
до 3.13.1 включительно (EDR-G9010)
до 3.13.1 включительно (EDF-G1002-BP)
до 1.0.5 включительно (NAT-102)
до 3.13 включительно (OnCell G4302-LTE4)
до 3.13 включительно (TN-4900)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимым устройствам;
- использование «белого» списка IP-адресов для ограничения удалённого доступа по SSH к уязвимым устройствам;
- ограничение доступа к уязвимым устройствам из внешних сетей (Интернет);
Использование рекомендаций производителя:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241155-privilege-escalation-and-os-command-injection-vulnerabilities-in-cellular-routers,-secure-routers,-and-netwo

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.0245
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-9140

CVSS3: 9.8
nvd
около 1 года назад

Moxa’s cellular routers, secure routers, and network security appliances are affected by a critical vulnerability, CVE-2024-9140. This vulnerability allows OS command injection due to improperly restricted commands, potentially enabling attackers to execute arbitrary code. This poses a significant risk to the system’s security and functionality.

github логотип

GHSA-mqhc-c63f-9fc8

CVSS3: 9.8
github
около 1 года назад

Moxa’s cellular routers, secure routers, and network security appliances are affected by a critical vulnerability, CVE-2024-9140. This vulnerability allows OS command injection due to improperly restricted commands, potentially enabling attackers to execute arbitrary code. This poses a significant risk to the system’s security and functionality.

EPSS

Процентиль: 85%
0.0245
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2