Куда я попал?
BDU:2025-00075
CVSS: 9.8
03.01.2025
Уязвимость микропрограммного обеспечения сетевых устройств Moxa EDR-8010, EDR-G9004, EDR-G9010, EDF-G1002-BP, NAT-102, OnCell G4302-LTE4, TN-4900, связанная с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольный код
Уязвимость микропрограммного обеспечения сетевых устройств Moxa EDR-8010, EDR-G9004, EDR-G9010, EDF-G1002-BP, NAT-102, OnCell G4302-LTE4, TN-4900 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированных команд в веб-интерфейс управления устройства
Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
Дата выявления: | 03.01.2025 |
Класс уязвимости: | Уязвимость кода |
Наличие эксплойта: | Данные уточняются |
Способ эксплуатации: | Инъекция |
Способ устранения: | Обновление программного обеспечения |
Меры по устранению: | Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование систем обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимым устройствам; - использование «белого» списка IP-адресов для ограничения удалённого доступа по SSH к уязвимым устройствам; - ограничение доступа к уязвимым устройствам из внешних сетей (Интернет); Использование рекомендаций производителя: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241155-privilege-escalation-and-os-command-injection-vulnerabilities-in-cellular-routers,-secure-routers,-and-netwo |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор | Описание |
---|---|
CWE-78 | Некорректная нейтрализация специальных элементов, используемых в системных командах (внедрение команд ОС) |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор | Описание |
---|---|
CVE-2024-9140 | Moxa’s cellular routers, secure routers, and network security appliances are affected by a critical vulnerability, CVE-2024-9... |
CVSS
Система общей оценки уязвимостей
Оценка | Severity | Версия | Базовый вектор |
---|---|---|---|
10 | CRITICAL | 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
9.8 | HIGH | 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Идентификаторы других систем описаний уязвимостей
CVE-2024-9140
Вендор: |
|
Тип ПО: |
|
Наименование ПО: |
|
Версия ПО: |
|
Ссылки на источники: |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.