Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 16/07/2019

Importancia: Alta

Recursos afectados:

• CCLAS, versiones 6.5 y 6.6, incluyendo las versiones de mantenimiento y hotfix.
• Ellipse, desde la versión 8.1 hasta la 8.9, incluyendo las versiones de mantenimiento.
• Ellipse, desde la versión 9.0.0 hasta la 9.0.6.

Descripción:

ABB ha detectado una vulnerabilidad de severidad alta. Un atacante, sin acceso autorizado, podría obtener datos de la aplicación.

Solución:

• Actualizar CCLAS a las versiones 6.6.0.4 y 6.7.
• Actualizar Ellipse a las versiones:
  • 8.5.25;
  • 8.6.25;
  • 8.7.23;
  • 8.8.19;
  • 8.9.19;
  • 9.0.7.

Detalle:

La vulnerabilidad se encuentra en el mecanismo de reporte de informes. Cuando un informe es generado, este es almacenado en el disco, y una URL es creada para acceder al informe desde la interfaz de usuario (UI). Esta URL no emplea las comprobaciones adecuadas para garantizar que el usuario que realiza la solicitud es un usuario autenticado. Esto podría permitir a un atacante, con acceso a la URL, descargar el informe.

Etiquetas: Actualización, Vulnerabilidad