一、 漏洞 CVE-2025-6950 基础信息
漏洞信息
                                        # N/A

## 概述

Moxa 的网络安防设备和路由器中发现了一个使用硬编码凭证(Use of Hard-coded Credentials)漏洞。该漏洞源于系统在认证过程中使用了硬编码的密钥对 JSON Web Token(JWT)进行签名。

## 影响版本

未具体说明受影响的版本信息,但影响 Moxa 的多个网络安防设备及路由器。

## 细节

系统使用固定的、不可更改的密钥来签名 JWT 认证令牌。由于该密钥是硬编码且公开可知的,攻击者可以利用该密钥伪造合法的令牌。

## 影响

攻击者无需认证即可伪造有效的 JWT 令牌,从而绕过身份验证机制,伪装成任意用户。该漏洞可能导致:

- 设备被完全接管  
- 未授权访问敏感数据  
- 获取系统管理员权限  

尽管攻击会对受影响设备的机密性、完整性和可用性造成严重影响,但不会影响后续系统的机密性或完整性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An Use of Hard-coded Credentials vulnerability has been identified in Moxa’s network security appliances and routers. The system employs a hard-coded secret key to sign JSON Web Tokens (JWT) used for authentication. This insecure implementation allows an unauthenticated attacker to forge valid tokens, thereby bypassing authentication controls and impersonating any user. Exploitation of this vulnerability can result in complete system compromise, enabling unauthorized access, data theft, and full administrative control over the affected device. While successful exploitation can severely impact the confidentiality, integrity, and availability of the affected device itself, there is no loss of confidentiality or integrity within any subsequent systems.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
使用硬编码的凭证
来源:美国国家漏洞数据库 NVD
漏洞标题
Moxa多款产品 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MOXA EDF-G1002-BP Series等都是中国摩莎(MOXA)公司的产品。MOXA EDF-G1002-BP Series是一系列工业级局域网(LAN)防火墙。Moxa EDR-8010 Series等都是中国台湾Moxa公司的产品。Moxa EDR-8010 Series是一系列安全路由器。Moxa EDR-G9010 Series是一系列安全路由器。 Moxa多款产品存在安全漏洞,该漏洞源于使用硬编码凭证签名JSON Web Tokens,可能导致绕过身份验证控制和冒充用户。以下产品受到影
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-6950 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-6950 的情报信息
四、漏洞 CVE-2025-6950 的评论

暂无评论

发表评论