Inicio / Content / Boletín de INCIBE-CERT del 24-04-2020

Boletín de INCIBE-CERT del 24-04-2020

Acceso no controlado a rutas en UPS Adapter CS141 de ABB

Fecha de publicación: 
24/04/2020
Importancia: 
3 - Media
Recursos afectados: 
  • La siguiente lista de dispositivos UPS Adapter CS141, con versiones de firmware desde la 1.66 hasta la 1.88:
    • CS141 Advanced - Box;
    • CS141 Advanced - Slot;
    • CS141 ModBus - Box;
    • CS141 ModBus - Slot;
    • CS141 Basic - Box;
    • CS141 Basic - Slot.
Descripción: 

El investigador de ciberseguridad, Eduardo Cataño Conde, ha reportado a ABB una vulnerabilidad de criticidad media, que podría permitir a un atacante remoto, acceso no controlado a rutas y obtener información del dispositivo afectado.

Solución: 

Actualizar los productos afectados a la versión de firmware 1.90.

Detalle: 

Un atacante con credenciales de administrador, o ingeniero, podría manipular las variables que referencian a los archivos para acceder a directorios y archivos fuera del directorio «web». Se ha reservado el identificador CVE-2020-11420 para esta vulnerabilidad.

Encuesta valoración