关键漏洞信息 更新概述 标题: Moxa ioLogik E1200 Series Vulnerabilities (Update A) 最后修订日期: 2017年1月31日 警告代码: ICSA-16-287-05A 影响产品 受影响的产品和版本: - ioLogik E1210, firmware Version V2.4及更早版本 - ioLogik E1211, firmware Version V2.3及更早版本 - ioLogik E1212, firmware Version V2.4及更早版本 - ioLogik E1213, firmware Version V2.5及更早版本 - ioLogik E1214, firmware Version V2.4及更早版本 - ioLogik E1240, firmware Version V2.3及更早版本 - ioLogik E1241, firmware Version V2.4及更早版本 - ioLogik E2210, firmware versions prior to V3.13 - ioLogik E2212, firmware versions prior to V3.14 - ioLogik E2214, firmware versions prior to V3.12 - ioLogik E2240, firmware versions prior to V3.12 - ioLogik E2242, firmware versions prior to V3.12 - ioLogik E2260, firmware versions prior to V3.13 - ioLogik E2262, firmware versions prior to V3.12 漏洞描述 CWE-79: 跨站脚本 - CVSS v3 基础评分为8.8 - 漏洞详情: 网络应用程序未能正确地对用户输入进行处理,导致可以进行脚本注入和任意代码执行 CWE-522: 不充分保护的凭据 - CVSS v3 坐标评分为8.1 - 漏洞详情: 密码在传输过程中格式不够安全 CWE-521: 弱密码要求 - CVSS v3 基础评分为8.1 - 漏洞详情: 用户仅被允许使用较短的密码 CWE-352: 跨站请求伪造 - CVSS v3 基础评分为7.3 - 漏洞详情: 网络应用程序无法充分验证请求是否来自合法用户 利用性与防护 可被远程利用: 是 已有公开的漏洞信息: 是 低技能攻击者可利用: 是 缓解措施: - 升级至最新固件版本 - 最小化网络暴露,确保设备不直接连接互联网 - 使用安全的远程访问方法(如VPN) - 遵循控制系统的安全推荐实践