以下是该网页截图中关于漏洞的关键信息,以简洁的markdown格式呈现: 漏洞概述 标题 多个关键漏洞存在于Korenix Technology、Westermo和Pepperl+Fuchs产品中 产品 Korenix: JetNet 5428G-20SF、JetNet 5810G等 Westermo: PMI-110-F2G Pepperl+Fuchs: Comtrol RocketLinx系列 漏洞版本 见“漏洞/测试版本” 固定版本 见“解决方案” CVE编号 CVE-2020-12500 CVE-2020-12501 CVE-2020-12502 CVE-2020-12503 CVE-2020-12504 影响 关键级 发现时间 2020年4月6日 漏洞描述 1. 未认证设备管理(CVE-2020-12500) 设备可通过UDP端口5010进行未认证的管理,包括修改网络设置、触发配置文件的下载和上传等。 2. 后门账户(CVE-2020-12501) 在多个不同设备上发现了多个不同的后门账户。 3. 跨站请求伪造(CSRF)(CVE-2020-12502) Web界面易受CSRF攻击,攻击者可通过诱使受害者点击恶意链接来更改设置。 4. 半盲认证命令注入(CVE-2020-12503) 部分产品系列存在命令注入漏洞,攻击者可执行任意命令。 5. 任意未认证TFTP操作(CVE-2020-12504) TFTP服务运行在root权限下,可被滥用读取系统文件和进行恶意固件和引导加载程序上传。 测试版本 列出了易受攻击的具体产品和版本。 厂商建议 更新至最新的固件版本。限制物理和网络访问以防止未授权操作。 这些信息提供了对Korenix Technology、Westermo和Pepperl+Fuchs产品中多个关键漏洞的详细说明,包括漏洞类型、受影响产品、CVE编号和厂商建议的解决方案。