Objet: Vulnérabilité dans les produits Moxa

Risque

• Élévation de privilèges

Systèmes affectés

• Séries UC-2100 micrologiciel versions 1.2 et antérieures
• Séries UC-2100-W micrologiciel versions 1.2 et antérieures
• Séries UC-3100 micrologiciel versions 1.1 et antérieures
• Séries UC-5100 micrologiciel versions 1.3 et antérieures
• Séries UC-8100A-ME-T micrologiciel versions 1.5 et antérieures
• Séries V2406C micrologiciel versions 1.2 et antérieures
• Séries V2403C micrologiciel versions 1.0 et antérieures
• Séries MC-1220 micrologiciel versions 1.4 et antérieures
• Séries DA-681C micrologiciel versions 1.1 et antérieures
• Séries DA-682C micrologiciel versions 1.2 et antérieures
• Séries DA-820C micrologiciel versions 1.2 et antérieures
• Séries AIG-501 micrologiciel versions 1.1 et antérieures
• Séries MPC-2070 micrologiciel versions 1.0 et antérieures
• Séries MPC-2101 micrologiciel versions 1.0 et antérieures
• Séries MPC-2120 micrologiciel versions 1.0 et antérieures
• Séries MPC-2121 micrologiciel versions 1.0 et antérieures
• Séries MPC-2190 micrologiciel versions 1.0 et antérieures
• Séries MPC-2240 micrologiciel versions 1.0 et antérieures
• Séries EXPC-1519 micrologiciel versions 1.0 et antérieures

L'éditeur ne propose pas de micrologiciel à installer pour la correction de la vulnérabilité identifiée CVE-2021-4034.
Une procédure est listée dans la partie Solution de l'avis et est à appliquer sur chaque équipement vulnérable.

Documentation

• Bulletin de sécurité Moxa du 09 mars 2022
https://www.moxa.com/en/support/product-support/security-advisory/moxas-response-regarding-the-pwnkit-vulnerability
• Bulletin d'actualité CERTFR-2022-ACT-004 du 31 janvier 2022
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-004/
• Référence CVE CVE-2021-4034
https://www.cve.org/CVERecord?id=CVE-2021-4034