CERTFR-2025-AVI-0036_Multiples vulnerabilites dans les produits Moxa

AVIS CERT

CERT-FR

Publié le 15 janvier 2025 à 16h33 - Mis à jour le 10 février 2025 à 15h05

Objet

Multiples vulnérabilités dans les produits Moxa

Référence

CERTFR-2025-AVI-0036

Risque(s)

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)

Système(s) affecté(s)

EDS-508A Series sans les derniers correctifs de sécurité
MGate 5121 SeriesÂ sans les derniers correctifs de sécurité
MGate 5122 SeriesÂ sans les derniers correctifs de sécurité
MGate 5123 SeriesÂ sans les derniers correctifs de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Moxa. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Moxa mpsa-241407 du 15 janvier 2025 : https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241407-cve-2024-12297-frontend-authorization-logic-disclosure-vulnerability-in-eds-508a-series
Bulletin de sécurité Moxa mpsa-247733 du 15 janvier 2025 : https://www.moxa.com/en/support/product-support/security-advisory/mpsa-247733-cve-2025-0193-stored-cross-site-scripting-(xss)-vulnerability-in-the-mgate-5121-5122-5123-series
Référence CVE CVE-2024-12297 : https://www.cve.org/CVERecord?id=CVE-2024-12297
Référence CVE CVE-2025-0193 : https://www.cve.org/CVERecord?id=CVE-2025-0193

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0036/