๐ Moxa EDR-G903 bis 3.4.11 Import Handler Information Disclosure
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
In Moxa EDR-G903 bis 3.4.11 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Das betrifft eine unbekannte Funktion der Komponente Import Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Vertraulichkeit.
Die Schwachstelle wurde am 31.05.2016 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-0879 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 3.4.12 vermag dieses Problem zu beheben.
Schwachstellen ähnlicher Art sind dokumentiert unter 87672, 87673, 87674 und 87675.
CVSS
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N) [?]Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:moxa:edr-g903:3.4.0
- cpe:/a:moxa:edr-g903:3.4.1
- cpe:/a:moxa:edr-g903:3.4.2
- cpe:/a:moxa:edr-g903:3.4.3
- cpe:/a:moxa:edr-g903:3.4.4
- cpe:/a:moxa:edr-g903:3.4.5
- cpe:/a:moxa:edr-g903:3.4.6
- cpe:/a:moxa:edr-g903:3.4.7
- cpe:/a:moxa:edr-g903:3.4.8
- cpe:/a:moxa:edr-g903:3.4.9
- cpe:/a:moxa:edr-g903:3.4.10
- cpe:/a:moxa:edr-g903:3.4.11
Exploiting
Klasse: Information DisclosureLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: EDR-G903 3.4.12
Timeline
31.05.2016 Advisory veröffentlicht31.05.2016 VulDB Eintrag erstellt
31.05.2016 VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-0879 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87672, 87673, 87674 , 87675
Eintrag
Erstellt: 31.05.2016Eintrag: 70.7% komplett
...