Устранение уязвимостей сотовых модемов серии ONCELL 3120-LTE-1

В сентябре 2024 года головной офис Moxa сообщил об обнаруженных уязвимостях в старой версии jQuery, используемой в сотовых модемах серии OnCell 3120-LTE-1 c версией прошивки 2.3 и ниже. Уязвимости могут поставить безопасность под угрозу несколькими способами, такими как атаки Cross-site Scripting (XSS) и прототипное загрязнение.

Описание уязвимостей:

• CWE-79 (CVE-2020-7656, CVE-2020-11022, CVE-2020-11023) - Некорректная нейтрализация входных данных при генерировании веб-страниц (Межсайтовое выполнение сценариев). Злоумышленник, находящийся удаленно, может вставить HTML или JavaScript в систему через веб-интерфейс.
• CWE-1321 (CVE-2019-11358) - Некорректный контроль за изменениями атрибутов прототипа объекта (Подмена прототипа). Злоумышленник может внедрить атрибуты, которые используются в других компонентах.

Для устранения уязвимостей установите бета-версию прошивки:

Firmware для OnCell 3120-LTE-1 (бета-версия 2.2.2 для аппаратной версии 2.0.0 от 24.06.2024): СКАЧАТЬ (52 Мб)

Примечание: исправление безопасности приведет к тому, что функция удаленного управления SMS (Remote SMS Control) не будет работать должным образом. Пожалуйста, учтите этот побочный эффект перед обновлением.

Для предоставления актуальной информации и во избежание недоразумений Moxa публикует всю самую свежую информацию о найденных уязвимостях и способах их устранения на странице Security Advisories (Советы по безопасности). Информация о наиболее критичных уязвимостях будет появляться и на русскоязычном сайте.

Пользуйтесь оборудованием Moxa с удовольствием, но не забывайте периодически проверять обновления. И, конечно же, обращайтесь к нам за любыми консультациями!