Fecha de publicación: 03/07/2020

Importancia: Alta

Recursos afectados:

System 800xA Information Manager, versiones:

• anteriores a 5.1 Rev E/5.1 FP4 Rev E TC6;
• anteriores a 6.0.3.3 RU1;
• anteriores a 6.1 RU1.

Descripción:

El investigador William Knowles ha reportado una vulnerabilidad de tipo Cross-site Scripting en ABB System 800xA Information Manager que permitiría inyectar y ejecutar código arbitrario en el servidor.

Solución:

Esta vulnerabilidad se corrige en las siguientes versiones de ABB System 800xA Information Manager:

• 5.1 Rev E/5.1 FP4 E TC6: ABB recomienda a los usuarios en la rama 5.1 que instalen este TC, que se puede obtener a través de una petición al soporte técnico;
• 6.0.3.3 RU1: ABB recomienda a los usuarios de la rama 6.0.3 LTS que actualicen 6.0.3.3 e instalen RU1;
• 6.1 RU1: ABB recomienda a los usuarios de la rama 6.1 que actualicen a esta versión.

Los paquetes acumulativos de Information Manager para 6.0.3.3 y 6.1 se pueden descargar desde My ABB/My Control System.

Detalle:

La vulnerabilidad reportada en ABB System 800xA Information Manager podría permitir que un atacante ejecute código arbitrario de forma remota a través de un Cross-site Scripting. Para utilizar esta vulnerabilidad el atacante necesita engañar a un usuario con el componente de Information Manager vulnerable instalado en su equipo para que visite un sitio web manipulado. Se ha asignado el identificador CVE-2020-8477 para esta vulnerabilidad

Etiquetas: Actualización, Infraestructuras críticas, SCADA, Vulnerabilidad