Frontend Authorization Logic Disclosure Vulnerability 漏洞信息(CVE-2024-12297)

一、漏洞 CVE-2024-12297 基础信息

漏洞标题

前端授权逻辑泄露漏洞

来源：AIGC 神龙大模型

漏洞描述信息

摩莎(EDS-508A系列)以太网交换机在运行3.11及之前版本的固件时，存在认证绕过漏洞。尽管在该过程中涉及到了客户端和后端服务器验证，但攻击者可以利用其实现中的弱点进行利用。这些漏洞可能导致暴力攻击猜测有效凭据或利用MD5碰撞攻击伪造认证哈希值，从而可能危及设备的安全性。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

认证机制不恰当

来源：AIGC 神龙大模型

漏洞标题

Frontend Authorization Logic Disclosure Vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Moxa’s Ethernet switch is vulnerable to an authentication bypass because of flaws in its authorization mechanism. Although both client-side and back-end server verification are involved in the process, attackers can exploit weaknesses in its implementation. These vulnerabilities may enable brute-force attacks to guess valid credentials or MD5 collision attacks to forge authentication hashes, potentially compromising the security of the device.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

依赖构建于封闭的安全性

来源：美国国家漏洞数据库 NVD

漏洞标题

MOXA EDS-508A 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

MOXA EDS-508A是中国摩莎（MOXA）公司的一款交换机。 MOXA EDS-508A 3.11版本及之前版本存在安全漏洞，该漏洞源于授权机制存在缺陷，容易受到身份验证绕过攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-12297 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-12297 的情报信息

标题： CVE-2024-12297: Frontend Authorization Logic Disclosure Vulnerability in EDS-508A Series -- 🔗来源链接

标签： vendor-advisory
标题： CVE-2024-12297: Frontend Authorization Logic Disclosure Vulnerability Identified in PT Switches -- 🔗来源链接

标签： vendor-advisory
https://nvd.nist.gov/vuln/detail/CVE-2024-12297

一、 漏洞 CVE-2024-12297 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-12297 的公开POC

三、漏洞 CVE-2024-12297 的情报信息

一、漏洞 CVE-2024-12297 基础信息