Inicio / Alerta Temprana / Avisos Sci / Evasión de autenticación en múltiples productos de ABB

Evasión de autenticación en múltiples productos de ABB

Fecha de publicación: 
16/07/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • CCLAS, versiones 6.5 y 6.6, incluyendo las versiones de mantenimiento y hotfix.
  • Ellipse, desde la versión 8.1 hasta la 8.9, incluyendo las versiones de mantenimiento.
  • Ellipse, desde la versión 9.0.0 hasta la 9.0.6.
Descripción: 

ABB ha detectado una vulnerabilidad de severidad alta. Un atacante, sin acceso autorizado, podría obtener datos de la aplicación.

Solución: 
  • Actualizar CCLAS a las versiones 6.6.0.4 y 6.7.
  • Actualizar Ellipse a las versiones:
    • 8.5.25;
    • 8.6.25;
    • 8.7.23;
    • 8.8.19;
    • 8.9.19;
    • 9.0.7.
Detalle: 

La vulnerabilidad se encuentra en el mecanismo de reporte de informes. Cuando un informe es generado, este es almacenado en el disco, y una URL es creada para acceder al informe desde la interfaz de usuario (UI). Esta URL no emplea las comprobaciones adecuadas para garantizar que el usuario que realiza la solicitud es un usuario autenticado. Esto podría permitir a un atacante, con acceso a la URL, descargar el informe.

Encuesta valoración