工业联网与安全设备领先制造商摩莎(Moxa)发布紧急安全公告,修复影响EDR、EDF、TN、NAT和OnCell设备系列的五个严重漏洞(编号CVE-2025-6892至CVE-2025-6950)。这些漏洞可能允许攻击者绕过认证、提升权限并获得受影响系统的完全管理控制权。
CVE-2025-6950:CVSS 9.9 硬编码密钥导致认证绕过
最严重的漏洞CVE-2025-6950的CVSS评分为9.9,根源在于Moxa设备认证机制中使用硬编码凭证。
公告解释:“系统使用硬编码密钥对用于认证的JSON Web Token(JWT)进行签名。这种不安全的实现允许未认证攻击者伪造有效令牌,从而绕过认证控制并冒充任意用户。”
成功利用此漏洞将使攻击者获得设备的完全管理控制权,能够访问数据、篡改配置或完全禁用安全功能。
Moxa指出:“利用此漏洞可导致系统完全沦陷,实现未授权访问、数据窃取和对受影响设备的完全管理控制。”
CVE-2025-6949:CVSS 9.3 低权限用户创建管理员账户
另一个严重漏洞CVE-2025-6949(CVSS 9.3)允许低权限用户创建新管理员账户,甚至使用已存在的用户名。
公告称:“API中存在严重授权缺陷,允许已认证的低权限用户创建新管理员账户,包括与现有用户同名的账户。”
这可能导致账户冒充和设备接管,严重破坏机密性、完整性和可用性。
CVE-2025-6893:CVSS 9.3 权限滥用修改系统配置
CVE-2025-6893(CVSS 9.3)中,/api/v1/setting/data端点存在不必要权限执行问题。
Moxa报告:“访问控制缺陷允许已认证的低权限用户在无所需权限的情况下调用API,从而获得访问或修改系统配置数据的能力。”
攻击者利用此漏洞可提升权限并修改敏感配置,可能篡改网络规则或使设备暴露于远程操控风险。
CVE-2025-6892:CVSS 8.7 API认证逻辑错误
CVE-2025-6892(CVSS 8.7)漏洞源于API认证机制中的授权逻辑错误。
公告警告:“API认证机制缺陷允许未授权访问受保护的API端点,包括用于管理功能的端点。”
尽管攻击需要有效会话,但会话验证机制薄弱,导致威胁行为者在合法用户登录后可执行特权操作,而无需适当权限验证。
CVE-2025-6894:CVSS 5.3 内部网络侦察向量
虽然严重程度较低,CVE-2025-6894(CVSS 5.3)仍可能成为内部网络侦察的潜在途径。
Moxa解释:“API授权逻辑缺陷允许已认证的低权限用户执行管理员级‘ping’功能。这使用户能够执行内部网络侦察,可能发现原本无法访问的内部主机或服务。”
反复利用可能导致轻微资源消耗或有限数据泄露,但不会造成完全沦陷。
受影响产品与修复建议
Moxa确认以下产品线受影响,应立即更新至固件3.21或更高版本:
发表评论
您还未登录,请先登录。
登录