10月17日臺廠四零四科技(Moxa)發布資安公告,指出旗下部分網路安全設備及路由器存在5項資安漏洞CVE-2025-6892、CVE-2025-6893、CVE-2025-6894、CVE-2025-6949,以及CVE-2025-6950,其中3個風險被評為重大層級,非常危險。對此,該公司呼籲用戶,應立即套用新版韌體因應。
上述漏洞影響7個產品線的機種,包括:EDR-G9010、EDR-8010、EDF-G1002-BP、TN-4900、NAT-102、NAT-108,以及OnCell G4302-LTE4系列的設備。我們也向四零四科技進一步了解臺灣用戶受影響的情況,該公司表示,目前未有客戶反映受到影響。
針對四零四科技本次揭露的資安漏洞,最危險的是4.0版CVSS風險評分達到9.9(滿分10分)的CVE-2025-6950,此為寫死(Hard-coded)憑證造成的弱點,原因是系統裡採用固定的金鑰簽署用於身分驗證的JSON Web Token(JWT),使得攻擊者有機會用來偽造Token來繞過身分驗證機制,冒充任意使用者。一旦成功利用,有可能導致系統完全損壞,進行未經授權存取、竊取資料,以及完全控制目標設備,嚴重影響裝置的機密性、完整性,以及可用性。
另外兩個評為重大層級的漏洞,編號為CVE-2025-6893與CVE-2025-6949,兩者都是不必要的權限執行造成,風險值皆達到9.3,而且,攻擊者在通過身分驗證取得低權限的情況下,就有機會利用。
其中,CVE-2025-6893可讓攻擊者在無需具備必要權限的狀態下,就能呼叫API,從而得到存取或竄改系統組態配置資料的能力;CVE-2025-6949存在API的授權缺陷,使得攻擊者可用來建立新的管理員帳號。
熱門新聞
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2025-12-31
2025-12-31
2026-01-02