Argitalpen data: 2020/07/03

Garrantzia: Altua

Kaltetutako baliabideak:

System 800xA Information Manager, bertsioak:

• 5.1 Rev E/5.1 FP4 Rev E TC6 aurrekoak;
• 6.0.3.3, RU1 aurrekoak;
• 6.1, RU1 aurrekoak;

Azalpena:

William Knowles ikertzaileak ABB System 800xA Information Manager sisteman atzemandako Cross-site Scripting ahultasunaren berri eman du. Ahultasun horren bidez, zerbitzarian kode arbitrarioa injektatu eta exekutatu liteke.

Konponbidea:

Ahultasun hori ABB System 800xA Information Manager sistemaren honako bertsioetan zuzenduko da:

• 5.1 Rev E/5.1 FP4 E TC6: ABB enpresak 5.1 erabiltzaileei gomendatu die TC hau instalatzeko. Laguntza teknikoko zerbitzuan eska daiteke;
• 6.0.3.3 RU1: ABB enpresak 6.0.3 LTS erabiltzaileei gomendatu die 6.0.3.3 eguneratzeko eta  RU1 instalatzeko;
• 6.1 RU1: ABB enpresak 6.1 erabiltzaileei gomendatu die bertsio honetara eguneratzeko.

6.0.3.3 eta 6.1 bertsioetarako Information Manager paketeak My ABB/My Control System ataletik deskarga daitezke.

Xehetasuna:

ABB System 800xA Information Manager sisteman atzemandako ahultasunaren ondorioz, erasotzaile batek kode arbitrarioa exekuta lezake Cross-site Scripting bidez. Ahultasun hori erabiltzeko, erasotzaileak Information Manager ahula instalatuta duen erabiltzaile bat engainatu behar du, horrek manipulatutako webgune bat bisitatzeko. Ahultasun horretarako CVE-2020-8477 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Azpiegitura kritikoak, SCADA, Ahultasuna.