CVE-2025-1679 Moxa — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	4,8 (MEDIUM)
Уязвимые версии	1.0 — 5.5
Тип уязвимости	CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик	Moxa
Публичный эксплойт	Нет

В Ethernet-коммутаторах Moxa был обнаружен межсайтовый скриптинг, который позволяет аутентифицированному административному злоумышленнику внедрять вредоносные скрипты в веб-службу уязвимого устройства, которые могут повлиять на взаимодействие аутентифицированных пользователей с веб-интерфейсом устройства. Эта уязвимость классифицируется как хранимый межсайтовый скриптинг (XSS); злоумышленники внедряют в систему вредоносные сценарии, которые сохраняются на протяжении всех сеансов. Это не повлияет на конфиденциальность, целостность и доступность затронутого устройства; нет потери доступности в любых последующих системах, но имеется некоторая потеря конфиденциальности и целостности в последующей системе.

Показать оригинальное описание (EN)

Cross-site Scripting has been identified in Moxa’s Ethernet switches, which allows an authenticated administrative attacker to inject malicious scripts to an affected device’s web service that could impact authenticated users interacting with the device’s web interface. This vulnerability is classified as stored cross-site scripting (XSS); attackers inject malicious scripts into the system, and the scripts persist across sessions. There is no impact to the confidentiality, integrity, and availability of the affected device; no loss of availability within any subsequent systems but has some loss of confidentiality and integrity within the subsequent system.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Высокие

Нужны права администратора

Участие пользователя

Пассивное

Минимальное взаимодействие

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))

Уязвимые продукты 8

Конфигурация	От (включительно)	До (исключительно)
Moxa Tn-4500a_Series cpe:2.3:a:moxa:tn-4500a_series::::::::	`1.0`	`<= 3.13`
Moxa Tn-4500a_Series cpe:2.3:a:moxa:tn-4500a_series:4.0:::::::*	—	—
Moxa Tn-5500a_Series cpe:2.3:a:moxa:tn-5500a_series::::::::	`1.0`	`<= 3.13`
Moxa Tn-5500a_Series cpe:2.3:a:moxa:tn-5500a_series:4.0:::::::*	—	—
Moxa Tn-G4500_Series cpe:2.3:a:moxa:tn-g4500_series::::::::	`1.0`	`<= 5.5`
Moxa Tn-G4500_Series cpe:2.3:a:moxa:tn-g4500_series:5.5.255:::::::*	—	—
Moxa Tn-G6500_Series cpe:2.3:a:moxa:tn-g6500_series::::::::	`1.0`	`<= 5.5`
Moxa Tn-G6500_Series cpe:2.3:a:moxa:tn-g6500_series:5.5.255:::::::*	—	—