Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Evasión de autenticación en múltiples productos de ABB

Fecha de publicación 16/07/2019
Importancia
4 - Alta
Recursos Afectados
  • CCLAS, versiones 6.5 y 6.6, incluyendo las versiones de mantenimiento y hotfix.
  • Ellipse, desde la versión 8.1 hasta la 8.9, incluyendo las versiones de mantenimiento.
  • Ellipse, desde la versión 9.0.0 hasta la 9.0.6.
Descripción

ABB ha detectado una vulnerabilidad de severidad alta. Un atacante, sin acceso autorizado, podría obtener datos de la aplicación.

Solución
  • Actualizar CCLAS a las versiones 6.6.0.4 y 6.7.
  • Actualizar Ellipse a las versiones:
    • 8.5.25;
    • 8.6.25;
    • 8.7.23;
    • 8.8.19;
    • 8.9.19;
    • 9.0.7.
Detalle

La vulnerabilidad se encuentra en el mecanismo de reporte de informes. Cuando un informe es generado, este es almacenado en el disco, y una URL es creada para acceder al informe desde la interfaz de usuario (UI). Esta URL no emplea las comprobaciones adecuadas para garantizar que el usuario que realiza la solicitud es un usuario autenticado. Esto podría permitir a un atacante, con acceso a la URL, descargar el informe.

Encuesta valoración

Listado de referencias
Authentication Bypass Vulnerability in CCLAS and Ellipse 2019-003-PGGA-CCLAS
Etiquetas