Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un mecanismo de generación de tokens en diversos dispositivos Moxa MGate. (CVE-2019-9102)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-330 Uso de valores insuficientemente aleatorios
Fecha de publicación:
11/03/2020
Última modificación:
21/07/2021

Descripción

Se detectó un problema en los dispositivos Moxa MGate MB3170 y MB3270 versiones anteriores a la versión 4.1, en los dispositivos MB3280 y MB3480 versiones anteriores a la versión 3.1, en los dispositivos MB3660 versiones anteriores a la versión 2.3 y en los dispositivos MB3180 versiones anteriores a la versión 2.1. Un mecanismo predecible de generación de tokens permite a atacantes remotos omitir el mecanismo de protección de ataques de tipo cross-site request forgery (CSRF).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:moxa:mb3170_firmware:*:*:*:*:*:*:*:* 4.0 (incluyendo)
cpe:2.3:h:moxa:mb3170:-:*:*:*:*:*:*:*
cpe:2.3:o:moxa:mb3270_firmware:*:*:*:*:*:*:*:* 4.0 (incluyendo)
cpe:2.3:h:moxa:mb3270:-:*:*:*:*:*:*:*
cpe:2.3:o:moxa:mb3180_firmware:*:*:*:*:*:*:*:* 2.0 (incluyendo)
cpe:2.3:h:moxa:mb3180:-:*:*:*:*:*:*:*
cpe:2.3:o:moxa:mb3280_firmware:*:*:*:*:*:*:*:* 3.0 (incluyendo)
cpe:2.3:h:moxa:mb3280:-:*:*:*:*:*:*:*
cpe:2.3:o:moxa:mb3480_firmware:*:*:*:*:*:*:*:* 3.0 (incluyendo)
cpe:2.3:h:moxa:mb3480:-:*:*:*:*:*:*:*
cpe:2.3:o:moxa:mb3660_firmware:*:*:*:*:*:*:*:* 2.2 (incluyendo)
cpe:2.3:h:moxa:mb3660:-:*:*:*:*:*:*:*