Компания Moxa опубликовала два бюллетеня безопасности, в которых описаны три уязвимости, затрагивающие несколько серий промышленных серверов последовательных портов NPort. Уязвимости получили идентификаторы CVE-2026-10825, CVE-2026-10828 и CVE-2026-10829. В зависимости от конкретной проблемы эксплуатация может привести к удаленному выполнению кода с привилегиями root, утечке конфиденциальных данных из памяти, обходу механизмов защиты адресного пространства или отказу в обслуживании.
Детали уязвимостей
Первая группа уязвимостей, описанная в бюллетене MPSA-261910, касается двух разных классов проблем в устройствах серий NPort W2150A-W4/W2250A-W4 и NPort W2150A/W2250A. CVE-2026-10828 представляет собой уязвимость форматной строки (CWE-134). Недостаток обнаружен в параметре "alias" страницы конфигурации Serial Param. Причина - недостаточная проверка входных данных, что позволяет атакующему подавать строки, управляющие форматированием памяти. В случае успешной эксплуатации злоумышленник может раскрыть содержимое критических участков памяти и определить адреса, необходимые для обхода механизма ASLR (рандомизации адресного пространства). Уязвимость имеет базовую оценку 6.9 по шкале CVSS 4.0 (уровень Medium). Для атаки требуются привилегии высокого уровня, но сетевой доступ к веб-интерфейсу устройства.
Вторая уязвимость из того же бюллетеня - CVE-2026-10829 - представляет собой переполнение буфера на стеке (CWE-121). Проблема локализована в параметре "Server location" на странице базовых настроек. Недостаточно верифицируя пользовательский ввод, устройство допускает переполнение буфера, что влечёт повреждение памяти. При успешной атаке злоумышленник может выполнить произвольный код на целевом устройстве с привилегиями root. Базовая оценка CVSS 4.0 для этой уязвимости составляет 8.6 (High). Для эксплуатации также требуется аутентификация с высокими привилегиями, но вектор атаки остаётся удалённым.
Согласно тексту бюллетеня, "успешная эксплуатация этой уязвимости может позволить удалённое выполнение кода на целевой системе с привилегиями root". Речь идёт именно о CVE-2026-10829. Исследователь Remi ONNO из компании CS GROUP France (Groupe Sopra Steria) выявил обе проблемы и скоординировал раскрытие с вендором.
Третья уязвимость, описанная в бюллетене MPSA-268270, затрагивает серию NPort 6000-G2 (модели 6100/6200/6400/6600). CVE-2026-10825 классифицируется как недостаточная проверка входных данных JSON (CWE-1287). Проблема находится в WebSocket-интерфейсе API. Сервер неправильно обрабатывает специально сформированные JSON-запросы, что может вызвать сбой в работе с последующей неожиданной перезагрузкой устройства. Базовая оценка CVSS 4.0 составляет 7.1 (High). В отличие от предыдущих уязвимостей, для этой атаки достаточно низких привилегий у аутентифицированного пользователя. Удалённое воздействие возможно, но без прямого доступа к конфиденциальным данным.
Затронутые версии прошивок таковы: для NPort W2150A-W4/W2250A-W4 - версии 1.5 и более ранние, для устаревшей серии NPort W2150A/W2250A - версия 2.3, а для NPort 6000-G2 - версия 1.1.0 и более ранние. Moxa выпустила исправления: для NPort W2150A-W4/W2250A-W4 - патч v1.5.1 (доступен по обращению в техподдержку), для NPort 6000-G2 - прошивка v1.2.0. Владельцам устройств серии NPort W2150A/W2250A, которые уже не поддерживаются, рекомендуется заменить их на модели W2150A-W4/W2250A-W4 с обновлённой прошивкой.
Важность этих уязвимостей определяется сферой применения продуктов Moxa. Промышленные серверы последовательных портов широко используются в системах автоматизации, диспетчерского управления и сбора данных (SCADA), на объектах критической инфраструктуры. Удалённое выполнение кода на подобном устройстве может позволить злоумышленнику получить контроль над сегментом сети, нарушить работу промышленного оборудования или изменить технологические параметры. Утечка памяти и обход ASLR ослабляют защиту от других атак. Отказ в обслуживании приводит к простою каналов связи, что в промышленной среде чревато остановкой производственных процессов.
Пользователям устройств Moxa рекомендуется как можно скорее применить доступные патчи. Если обновление невозможно, следует руководствоваться общими рекомендациями по усилению безопасности: ограничить сетевой доступ к веб-интерфейсу устройств, использовать брандмауэры и сегментировать промышленные сети. Для устаревших моделей единственным полноценным решением остаётся замена на актуальные версии с установленным исправлением. Игнорирование этих мер повышает риск компрометации промышленной инфраструктуры.
Ссылки
- https://www.moxa.com/en/support/product-support/security-advisory/mpsa-261910-cve-2026-10828,-cve-2026-10829-use-of-externally-controlled-format-string-and-stack-based-buffer-overflow-v
- https://www.moxa.com/en/support/product-support/security-advisory/mpsa-268270-cve-2026-10825-improper-validation-of-input-vulnerability-in-serial-device-servers
