Limitación incorrecta de ruta a un directorio restringido en productos ABB

Fecha de publicación 18/07/2022

Identificador

INCIBE-2022-0836

Importancia

4 - Alta

Recursos Afectados

RMC-100 (Standard), todas las versiones anteriores a 2105457-037;
RMC-100-LITE, todas las versiones anteriores a 2106229-011;
XIO, todas las versiones anteriores a 2106198-008;
XFC^G5, todas las versiones anteriores a 2105805-016;
XRC^G5, todas las versiones anteriores a 2105864-016;
uFLO^G5, todas las versiones anteriores a 2105298-024;
UDC, todas las versiones anteriores a 2106177-007.

Descripción

Vera Mens, de Claroty Research, ha reportado una vulnerabilidad de severidad alta en productos ABB, cuya explotación podría permitir a un atacante insertar y ejecutar código arbitrario.

Solución

Actualizar cada producto afectado a la versión correctora correspondiente:

RMC-100 (Standard), 2105457-037;
RMC-100-LITE, 2106229-011;
XIO, 2106198-008;
XFC^G5, 2105805-016;
XRC^G5, 2105864-016;
uFLO^G5, 2105298-024;
UDC, 2106177-007.

Detalle

Existe una vulnerabilidad de limitación incorrecta de ruta a un directorio restringido (path traversal) en la implementación del protocolo Totalflow TCP en los productos ABB G5, lo que podría permitir a un usuario no autenticado acceder a directorios restringidos, así como conducir a una ejecución remota de código preautenticada en el contexto de root. Se ha asignado el identificador CVE-2022-0902 para esta vulnerabilidad.

Listado de referencias

ABB Flow Computer and Remote Controllers Path Traversal Vulnerability in Totalflow TCP protocol can lead to root access CVE ID: CVE-2022-0902

Etiquetas