Múltiples vulnerabilidades en PB610 Panel Builder 600 de ABB
Fecha de publicación 17/12/2019
Importancia
4 - Alta
Recursos Afectados
- PB610 Panel Builder 600, versión 2.8.0.424 y anteriores.
Descripción
Los investigadores de NSFOCUS han reportado una serie de vulnerabilidades que podrían permitir a un atacante remoto detener o dejar inaccesible el dispositivo, tomar el control del nodo del sistema o inyectar código arbitrario.
Solución
- Actualizar a la versión 2.8.0.460;
- Eliminar los archivos DLL presentes en el directorio de la aplicación PB610.
Detalle
- La ausencia de la comprobación de la longitud del fichero hace que el componente HMIStudio se bloquee al intentar cargar un archivo de aplicación *.JPR vacío, lo que podría permitir, a un atacante, provocar una denegación de servicio en el dispositivo. Se ha asignado el identificador CVE-2019-18994 para esta vulnerabilidad.
- El panel HMISimulator falla al validar la longitud de las peticiones HTTP, lo que podría permitir a un atacante provocar la denegación de servicio mediante paquetes HTTP especialmente manipulados. Se ha asignado el identificador CVE-2019-18995 para esta vulnerabilidad.
- HMIStudio acepta archivos DLL que se encuentren fuera del directorio del programa, lo que podría permitir a un atacante, con acceso local, la ejecución de código mediante ficheros DLL maliciosos. Se ha asignado el identificador CVE-2019-18996 para esta vulnerabilidad.
- El componente HMISimulator utiliza el interfaz lectura/escritura para manipular los ficheros, lo que podría permitir a un atacante acceder a ficheros fuera del directorio de trabajo sin autorización. Se ha asignado el identificador CVE-2019-18997 para esta vulnerabilidad.
Listado de referencias
Etiquetas