Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de ABB

Fecha de publicación 13/02/2020
Importancia
4 - Alta
Recursos Afectados
  • Asset Suite, versiones 9.6 y anteriores.
  • eSOMS, versiones 6.02 y anteriores.
Descripción

ABB ha reportado varias vulnerabilidades del tipo: referencia directa a objeto, cabeceras HTTP no activadas correctamente, flags seguros no activados, filtración de información, falta de control de la complejidad de la contraseña, uso de software vulnerable, inyección SQL, falta de validación de entradas y salidas, almacenamiento de contraseñas en claro y uso de algoritmos de encriptación débiles. Estas vulnerabilidades podrían permitir a un atacante acceder a información sensible.

Solución

Actualizar a las siguientes versiones:

  • eSOMS: 6.0.3 y 6.1,
  • Asset Suite: 9.4.2.6, 9.5.3.2 y 9.6.1.
Detalle

Las vulnerabilidades de severidad alta son:

  • Un fallo en los controles utilizados para limitar el acceso a los recursos podría permitir a un atacante, que conozca o descubra la URL de un recurso al que no tiene permiso, acceder a dicho recurso buscándolo directamente mediante la URL. Se ha asignado el identificador CVE-2019-18998 para esta vulnerabilidad.
  • En eSOMS está instalada una versión de Redis vulnerable.
  • La falta de validación de la entrada para los queries SQL, en el eSOMS, podría permitir a un atacante realizar ataques de inyección SQL contra la base de datos interna. Se ha asignado el identificador CVE-2019-19094 para esta vulnerabilidad.

Para el resto de las vulnerabilidades se han asignado los identificadores CVE-2019-19000, CVE-2019-19001, CVE-2019-19002, CVE-2019-19003, CVE-2019-19089, CVE-2019-19090, CVE-2019-19091, CVE-2019-19092, CVE-2019-19093, CVE-2019-19095, CVE-2019-19096 y CVE-2019-19097.

Encuesta valoración