安全通告 NCSC-2025-0326 [1.0.0]
发布日期
2025年10月20日 15:03(欧洲/阿姆斯特丹)
优先级
正常
涉及内容
Moxa网络设备漏洞修复
漏洞特征
- 不必要的权限执行
- 使用硬编码凭证
- 错误的授权机制
漏洞描述
Moxa已修复其网络设备中的多个安全漏洞。这些漏洞包括:
- 错误的授权机制可能导致未经授权访问受保护的API端点
- 访问控制机制问题可能导致权限提升
- 低权限用户可执行管理功能,可能促进内部网络探测
- 关键漏洞允许低权限用户创建新的管理员账户,实现完全的管理控制和账户冒充
- 未经认证的攻击者可滥用硬编码登录凭证伪造JSON Web令牌,导致对系统的未授权访问
解决方案
Moxa已发布更新以修复这些漏洞。更多信息请参阅相关参考资料。
参考资料
CVE编号
- CVE-2025-6892 - CVSS (v4) 9.4
- CVE-2025-6893 - CVSS (v4) 9.3
- CVE-2025-6894 - CVSS (v4) 5.3
- CVE-2025-6949 - CVSS (v4) 9.3
- CVE-2025-6950 - CVSS (v4) 9.9
受影响产品
Moxa
- EDF-G1002-BP系列
- EDR-8010系列
- EDR-G9010系列
- NAT-102系列
- NAT-108系列
- OnCell G4302-LTE4系列
- 路由器
- TN-4900系列
- edf-g1002-bp
- edr-8010
- oncell_g4302-lte4
- tn-4900
免责声明
荷兰国家网络安全中心(以下简称:NCSC-NL)维护此页面以增强对其信息和安全通告的访问。使用此安全通告需遵守以下条款和条件:
NCSC-NL尽一切合理努力确保此页面内容的及时更新、准确性和完整性。然而,NCSC-NL不能完全排除错误的可能性,因此不能保证其完整性、准确性或持续更新。此安全通告中包含的信息仅用于向专业用户提供一般信息。不能从所提供的信息中衍生任何权利。
NCSC-NL和荷兰王国对因使用或无法使用此安全通告而导致的任何损害不承担法律责任或义务。这包括因通告中信息不准确或不完整而造成的损害。
此安全通告受荷兰法律管辖。所有与此通告使用相关或由此产生的争议将提交给海牙有管辖权的法院。此选择也适用于简易程序法院。