Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 13/02/2020

Importancia: Alta

Recursos afectados:

• Asset Suite, versiones 9.6 y anteriores.
• eSOMS, versiones 6.02 y anteriores.

Descripción:

ABB ha reportado varias vulnerabilidades del tipo: referencia directa a objeto, cabeceras HTTP no activadas correctamente, flags seguros no activados, filtración de información, falta de control de la complejidad de la contraseña, uso de software vulnerable, inyección SQL, falta de validación de entradas y salidas, almacenamiento de contraseñas en claro y uso de algoritmos de encriptación débiles. Estas vulnerabilidades podrían permitir a un atacante acceder a información sensible.

Solución:

Actualizar a las siguientes versiones:

• eSOMS: 6.0.3 y 6.1,
• Asset Suite: 9.4.2.6, 9.5.3.2 y 9.6.1.

Detalle:

Las vulnerabilidades de severidad alta son:

• Un fallo en los controles utilizados para limitar el acceso a los recursos podría permitir a un atacante, que conozca o descubra la URL de un recurso al que no tiene permiso, acceder a dicho recurso buscándolo directamente mediante la URL. Se ha asignado el identificador CVE-2019-18998 para esta vulnerabilidad.
• En eSOMS está instalada una versión de Redis vulnerable.
• La falta de validación de la entrada para los queries SQL, en el eSOMS, podría permitir a un atacante realizar ataques de inyección SQL contra la base de datos interna. Se ha asignado el identificador CVE-2019-19094 para esta vulnerabilidad.

Para el resto de las vulnerabilidades se han asignado los identificadores CVE-2019-19000, CVE-2019-19001, CVE-2019-19002, CVE-2019-19003, CVE-2019-19089, CVE-2019-19090, CVE-2019-19091, CVE-2019-19092, CVE-2019-19093, CVE-2019-19095, CVE-2019-19096 y CVE-2019-19097.

Etiquetas: Vulnerabilidad