| タイトル | Moxa 製 MGate における重要情報の平文送信の脆弱性 |
|---|---|
| 概要 | Moxa が提供する MGate は、シリアル通信からイーサネット通信へ変換できる Modbus ゲートウェイです。 MGate には、重要情報の平文送信の脆弱性(CWE-319、CVE-2021-4161)が存在します。 |
| 想定される影響 | 遠隔の第三者にトラフィックを盗聴され、認証情報を取得されることによって、Web サーバを介して管理者権限を取得される可能性があります。 |
| 対策 | [ワークアラウンドを実施する] 開発者は次のワークアラウンドの実施を推奨しています。 * HTTPS を有効にし、コンソール設定で HTTP コンソール機能を無効にする |
| 公表日 | 2021年12月24日0:00 |
| 登録日 | 2021年12月27日17:30 |
| 最終更新日 | 2021年12月27日17:30 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Moxa Inc. |
| MGate MB3180 シリーズ ファームウェアバージョン 2.2 およびそれ以前 |
| MGate MB3280 シリーズ ファームウェアバージョン 4.1 およびそれ以前 |
| MGate MB3480 シリーズ ファームウェアバージョン 3.2 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2021年12月27日] 掲載 | 2021年12月27日14:43 |
| 概要 | The affected products contain vulnerable firmware, which could allow an attacker to sniff the traffic and decrypt login credential details. This could give an attacker admin rights through the HTTP web server. |
|---|---|
| 公表日 | 2021年12月28日4:15 |
| 登録日 | 2021年12月28日10:00 |
| 最終更新日 | 2024年11月21日15:37 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:moxa:mgate_mb3180_firmware:*:*:*:*:*:*:*:* | 2.2 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:moxa:mgate_mb3180:-:*:*:*:*:*:*:* | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:moxa:mgate_mb3280_firmware:*:*:*:*:*:*:*:* | 4.1 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:moxa:mgate_mb3280:-:*:*:*:*:*:*:* | ||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:moxa:mgate_mb3480_firmware:*:*:*:*:*:*:*:* | 3.2 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:moxa:mgate_mb3480:-:*:*:*:*:*:*:* | ||||