Acceso no controlado a rutas en UPS Adapter CS141 de ABB

Fecha de publicación 24/04/2020
Importancia
3 - Media
Recursos Afectados
  • La siguiente lista de dispositivos UPS Adapter CS141, con versiones de firmware desde la 1.66 hasta la 1.88:
    • CS141 Advanced - Box;
    • CS141 Advanced - Slot;
    • CS141 ModBus - Box;
    • CS141 ModBus - Slot;
    • CS141 Basic - Box;
    • CS141 Basic - Slot.
Descripción

El investigador de ciberseguridad, Eduardo Cataño Conde, ha reportado a ABB una vulnerabilidad de criticidad media, que podría permitir a un atacante remoto, acceso no controlado a rutas y obtener información del dispositivo afectado.

Solución

Actualizar los productos afectados a la versión de firmware 1.90.

Detalle

Un atacante con credenciales de administrador, o ingeniero, podría manipular las variables que referencian a los archivos para acceder a directorios y archivos fuera del directorio «web». Se ha reservado el identificador CVE-2020-11420 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Vulnerability in UPS Adapter CS141 – Path traversal
Etiquetas