БДУ - Уязвимости

BDU:2023-04734: Уязвимость веб-сервера прикладного программного интерфейса микропрограммного обеспечения маршрутизаторов Moxa TN-5900, позволяющая нарушителю повысить свои привилегии

Описание уязвимости	Уязвимость веб-сервера прикладного программного интерфейса микропрограммного обеспечения маршрутизаторов Moxa TN-5900 связана с ошибками при проведении процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Вендор	Moxa Inc.
Наименование ПО	Moxa TN-5900
Версия ПО	до 3.3 включительно
Тип ПО	ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неправильная аутентификация
Идентификатор типа ошибки	CWE-287
Класс уязвимости	Уязвимость кода
Дата выявления	16.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - отключение/ограничение доступа к веб-службе API; - ограничение доступа к устройству из общедоступных сетей (Интернет); - отключение веб-службы (веб-сервера); - использование виртуальных частных сетей для организации удаленного доступа (VPN); Использование рекомендаций производителя: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230402-tn-5900-and-tn-4900-series-web-server-multiple-vulnerabilities
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение аутентификации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230402-tn-5900-and-tn-4900-series-web-server-multiple-vulnerabilities
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-33237
Прочая информация	Данные уточняются

Последние изменения

01.12.2023 Уязвимость функции show_zysync_server_contents микропрограммного обеспечения сетевых хранилищ Zyxel NAS326, NAS542, позволяющая нарушителю выполнить произвольный код
01.12.2023 Уязвимость интерфейса iControl SOAP средств контроля доступа и удаленной аутентификации BIG-IP, позволяющая нарушителю выполнить произвольный код
01.12.2023 Уязвимость сервера приложений Eclipse Glassfish, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю загружать вредоносный код на сервер
01.12.2023 Уязвимость веб-шлюза McAfee Web Gateway, связанная с ошибками в коде, позволяющая нарушителю вызвать отказ в обслуживании
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с недостаточной проверкой входных данных, позволяющая нарушителю повысить свои привилегии
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с некорректной инициализацией ресурса, позволяющая нарушителю вызвать отказ в обслуживании
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с недостатками контроля доступа, позволяющая нарушителю раскрыть защищаемую информацию
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
01.12.2023 Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств ZyXEL VPN, USG FLEX и ATP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
01.12.2023 Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств ZyXEL VPN, USG FLEX и ATP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»