Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en PB610 Panel Builder 600 de ABB

Múltiples vulnerabilidades en PB610 Panel Builder 600 de ABB

Fecha de publicación: 
17/12/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • PB610 Panel Builder 600, versión 2.8.0.424 y anteriores.
Descripción: 

Los investigadores de NSFOCUS han reportado una serie de vulnerabilidades que podrían permitir a un atacante remoto detener o dejar inaccesible el dispositivo, tomar el control del nodo del sistema o inyectar código arbitrario.

Solución: 
  • Actualizar a la versión 2.8.0.460;
  • Eliminar los archivos DLL presentes en el directorio de la aplicación PB610.
Detalle: 
  • La ausencia de la comprobación de la longitud del fichero hace que el componente HMIStudio se bloquee al intentar cargar un archivo de aplicación *.JPR vacío, lo que podría permitir, a un atacante, provocar una denegación de servicio en el dispositivo. Se ha asignado el identificador CVE-2019-18994 para esta vulnerabilidad.
  • El panel HMISimulator falla al validar la longitud de las peticiones HTTP, lo que podría permitir a un atacante provocar la denegación de servicio mediante paquetes HTTP especialmente manipulados. Se ha asignado el identificador CVE-2019-18995 para esta vulnerabilidad.
  • HMIStudio acepta archivos DLL que se encuentren fuera del directorio del programa, lo que podría permitir a un atacante, con acceso local, la ejecución de código mediante ficheros DLL maliciosos. Se ha asignado el identificador CVE-2019-18996 para esta vulnerabilidad.
  • El componente HMISimulator utiliza el interfaz lectura/escritura para manipular los ficheros, lo que podría permitir a un atacante acceder a ficheros fuera del directorio de trabajo sin autorización. Se ha asignado el identificador CVE-2019-18997 para esta vulnerabilidad.

Encuesta valoración