CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-4161 – ICSA-21-357-01 Moxa MGate Protocol Gateways
https://notcve.org/view.php?id=CVE-2021-4161
The affected products contain vulnerable firmware, which could allow an attacker to sniff the traffic and decrypt login credential details. This could give an attacker admin rights through the HTTP web server. Los productos afectados contienen un firmware vulnerable, lo que podría permitir a un atacante husmear el tráfico y descifrar los datos de las credenciales de acceso. Esto podría dar a un atacante derechos de administrador mediante el servidor web HTTP • https://www.cisa.gov/uscert/ics/advisories/icsa-21-357-01 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2021-33824
https://notcve.org/view.php?id=CVE-2021-33824
An issue was discovered on MOXA Mgate MB3180 Version 2.1 Build 18113012. Attackers can use slowhttptest tool to send incomplete HTTP request, which could make server keep waiting for the packet to finish the connection, until its resource exhausted. Then the web server is denial-of-service. Se ha detectado un problema en MOXA Mgate MB3180 Versión 2.1 Build 18113012. Unos atacantes pueden usar la herramienta slowhttptest para enviar peticiones HTTP incompletas, lo que podría hacer que el servidor siga esperando el paquete para finalizar la conexión, hasta que sean agotados sus recursos. • https://github.com/Jian-Xian/CVE-POC/blob/master/CVE-2021-33824.md https://github.com/shekyan/slowhttptest https://www.moxa.com/en/products/industrial-edge-connectivity/protocol-gateways/modbus-tcp-gateways/mgate-mb3180-mb3280-mb3480-series • CWE-400: Uncontrolled Resource Consumption •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2021-33823
https://notcve.org/view.php?id=CVE-2021-33823
An issue was discovered on MOXA Mgate MB3180 Version 2.1 Build 18113012. Attacker could send a huge amount of TCP SYN packet to make web service's resource exhausted. Then the web server is denial-of-service. Se ha detectado un problema en MOXA Mgate MB3180 Versión 2.1 Build 18113012. Un atacante podría enviar una gran cantidad de paquetes TCP SYN para hacer que los recursos del servicio web sean agotados. • https://github.com/Jian-Xian/CVE-POC/blob/master/CVE-2021-33823.md https://www.moxa.com/en/products/industrial-edge-connectivity/protocol-gateways/modbus-tcp-gateways/mgate-mb3180-mb3280-mb3480-series •
CVSS: 8.8EPSS: 0%CPEs: 12EXPL: 0CVE-2019-9102
https://notcve.org/view.php?id=CVE-2019-9102
An issue was discovered on Moxa MGate MB3170 and MB3270 devices before 4.1, MB3280 and MB3480 devices before 3.1, MB3660 devices before 2.3, and MB3180 devices before 2.1. A predictable mechanism of generating tokens allows remote attackers to bypass the cross-site request forgery (CSRF) protection mechanism. Se detectó un problema en los dispositivos Moxa MGate MB3170 y MB3270 versiones anteriores a la versión 4.1, en los dispositivos MB3280 y MB3480 versiones anteriores a la versión 3.1, en los dispositivos MB3660 versiones anteriores a la versión 2.3 y en los dispositivos MB3180 versiones anteriores a la versión 2.1. Un mecanismo predecible de generación de tokens permite a atacantes remotos omitir el mecanismo de protección de ataques de tipo cross-site request forgery (CSRF). • https://www.moxa.com/en/support/support/security-advisory/mb3710-3180-3270-3280-3480-3660-vulnerabilities https://www.us-cert.gov/ics/advisories/icsa-20-056-01 • CWE-330: Use of Insufficiently Random Values •
CVSS: 9.8EPSS: 0%CPEs: 12EXPL: 0CVE-2019-9096
https://notcve.org/view.php?id=CVE-2019-9096
An issue was discovered on Moxa MGate MB3170 and MB3270 devices before 4.1, MB3280 and MB3480 devices before 3.1, MB3660 devices before 2.3, and MB3180 devices before 2.1. Insufficient password requirements for the MGate web application may allow an attacker to gain access by brute-forcing account passwords. Se detectó un problema en los dispositivos Moxa MGate MB3170 y MB3270 versiones anteriores a la versión 4.1, los dispositivos MB3280 y MB3480 versiones anteriores a la versión 3.1, los dispositivos MB3660 versiones anteriores a la versión 2.3, y los dispositivos MB3180 versiones anteriores a la versión 2.1. Unos requerimientos de contraseña insuficientes para la aplicación web de MGate puede permitir a un atacante conseguir acceso por medio de brute-forcing de las contraseñas de las cuentas. • https://www.moxa.com/en/support/support/security-advisory/mb3710-3180-3270-3280-3480-3660-vulnerabilities https://www.us-cert.gov/ics/advisories/icsa-20-056-01 • CWE-521: Weak Password Requirements •