Múltiples vulnerabilidades en productos ABB

Fecha de publicación:

28/12/2022

Identificador:

INCIBE-2022-1070

Importancia:

3 - Media

Recursos afectados:

Infinity DC Power Plant, H5692448 G104 G842 G224L G630-4 G451C(2) G461(2) (comcode 150047415);
Pulsar Plus System Controller, NE843_S (comcode 150042936).

Descripción:

El investigador, Vlad Ionescu, de Facebook Red Team X, ha reportado 2 vulnerabilidades de severidad media. Un atacante podría provocar la detención del producto o hacerlo inaccesible, tomar el control remoto o insertar y ejecutar código arbitrario.

Solución:

Actualizar a la versión 5.0.0 la aplicación y las páginas web.

Detalle:

Las vulnerabilidades reportadas incluyen protección insuficiente frente a CSRF (Cross Site Request Forgery) y XSS (Cross Site Scripting), gestión inadecuada de sesiones (identificadores demasiado cortos, previsibles y claramente visibles en las URL de las páginas web) y cambios de estado del controlador mediante peticiones GET. Se ha asignado el identificador CVE-2022-1607.

Referencias:

NE843 Pulsar Plus Controller Cyber Security Advisory

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en productos ABB

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron