Positive Technologies
Высокий8.8
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:H/SC:N/SI:N/SA:N

PT-2024-02: Переполнение буфера стека, приводящее к удаленному выполнению произвольного кода в MOXA NPort W2150a/W2250a

Уязвимые версии:  2.3 и ниже

Тип ошибки: 

  • CWE-121: Stack-based Buffer Overflow

Вектор уязвимости:

  • Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
  • Уровень критичности уязвимости (CVSSv3.1): 8.2 (high)
  • Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:H/SC:N/SI:N/SA:N
  • Уровень критичности уязвимости (CVSSv4.0): 8.8 (high)


Описание уязвимости: 
В MOXA NPort W2150a/W2250a возможно выполнение команд ОС на устройстве от имени привилегированного пользователя (root) из-за уязвимости переполнения буфера стека. Эксплуатация уязвимости возможна для неавторизованного пользователя с помощью отправки полезной нагрузки на веб-сервер.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 07.03.2024

Рекомендации: Обновление до версии >2.3

Прочая информация: Бюллетень по безопасности

Исследователь: Владимир Разов (Positive Technologies)

Идентификаторы:

CVE-2024-1220

BDU:2024-01811

Вендор:

Moxa Inc.

Уязвимый продукт:

NPort W2150a/W2250a