https://thehackernews.com/2022/02/critical-security-flaws-reported-in.html
CVE-2021-38454(CVSSスコア:10.0)-MQTTへのリモート接続を可能にし、通信チャネルをリモートで対話および使用できるようにする、誤って構成されたサービス
CVE-2021-38458(CVSSスコア:9.8)-不正なコマンドのリモート実行につながる可能性のある特別な要素の不適切な中和に関する問題
前述の3つの欠陥(CVE-2021-38452、CVE-2021-38454、およびCVE-2021-38458)を組み合わせて、SYSTEM権限を持つ脆弱なMXViewインスタンスで事前認証されたリモートコード実行を実現する可能性があります。
CVE-2021-40390およびCVE-2021-40392として追跡されるこの弱点により、攻撃者は、特別に細工されたHTTPリクエストをターゲットデバイスに送信し、暗号化されていないネットワーク通信をスニッフィングすることで、事前の認証なしにデバイスにアクセスできる可能性があります。
Moxa MXviewネットワーク管理ソフトウェア、noreply @ blogger.com(Ravie Lakshmanan)で報告された重大なセキュリティの欠陥
security summary
コメント