Устранение уязвимости коммутаторов серии SDS-3008

В июне 2024 года головной офис Moxa сообщил об обнаруженной уязвимости в коммутаторах серии SDS-3008 c версией прошивки 2.2 и ниже, делающая уязвимым веб-сервер. Уязвимость возникает из-за старой версии jQuery, что потенциально ставит безопасность под угрозу многими способами, такими как атаки Cross-site Scripting (XSS) и загрязнение прототипов.

Описание уязвимости:

• CWE-79 (CVE-2015-9251, CVE-2020-11022, CVE-2020-11023 (jQuery)) - Некорректная нейтрализация входных данных при генерировании веб-страниц (Межсайтовое выполнение сценариев). Злоумышленник может удаленно вставить HTML или JavaScript в систему через веб-интерфейс, что приведет к выполнению текста/javascript.
• CWE-1321 (CVE-2019-11358 (jQuery)) - Некорректный контроль за изменениями атрибутов прототипа объекта (Подмена прототипа). Злоумышленник может внедрить атрибуты, которые используются в других компонентах для выполнения атак межсайтового скриптинга (XSS).

Для устранения уязвимости установите новую версию прошивки:

Firmware для SDS-3008 (бета-версия 2.2.4 от 8.03.2024): СКАЧАТЬ (3.1 Мб)

Для предоставления актуальной информации и во избежание недоразумений Moxa публикует всю самую свежую информацию о найденных уязвимостях и способах их устранения на странице Security Advisories (Советы по безопасности). Информация о наиболее критичных уязвимостях будет появляться и на русскоязычном сайте.

Пользуйтесь оборудованием Moxa с удовольствием, но не забывайте периодически проверять обновления. И, конечно же, обращайтесь к нам за любыми консультациями!