Firma ABB informuje o nowych podatnościach w swoich produktach. (P24-021)

cert.pse-online.pl 11 miesięcy temu
ProduktWszystkie produkty AC500 V3 z wersją systemu mniejszą niż 3. Dotyczy to wersji 7.0
Numer CVECVE-2022 47391
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisSpecyficzne spreparowane żądania komunikacji o niespójnej treści mogą spowodować, iż komponent CmpDevice będzie odczytywał wewnętrznie z nieprawidłowego adresu, co może prowadzić do warunku odmowy usługi.
Numer CVECVE 2023 37545, CVE 2023 37546, CVE 2023 37547, CVE 2023 37548, CVE 2023 37549, CVE 2023 37550
Krytyczność6,5/10
CVSSA V:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisPo pomyślnym uwierzytelnieniu użytkownika określone, spreparowane żądania komunikacji o niespójnej treści mogą spowodować, iż komponent CmpApp będzie odczytywał wewnętrznie z nieprawidłowego adresu, co może prowadzić do warunku odmowy usługi.
Numer CVECVE 2023 37551
Krytyczność6,5/10
CVSSA V:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisPo pomyślnym uwierzytelnieniu użytkownika, specjalnie spreparowane żądania komunikacyjne mogą wykorzystywać komponent CmpApp do pobierania plików z dowolnymi rozszerzeniami do kontrolera. W przeciwieństwie do zwykłego pobierania plików za pośrednictwem CmpFileTransfer, nie jest tu stosowane żadne filtrowanie niektórych typów plików. W rezultacie integralność systemu wykonawczego sterowania AC500 V3 może zostać naruszona przez pliki załadowane do sterownika.
Numer CVECVE 2023 37552, CVE 2023 37553, CVE 2023 37554, CVE 2023 37555, CVE 2023 37556
Krytyczność6,5/10
CVSSA V:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisPo pomyślnym uwierzytelnieniu użytkownika określone, spreparowane żądania komunikacji o niespójnej treści mogą spowodować, iż komponent CmpAppBP wewnętrznie odczyta z nieprawidłowego adresu, co może prowadzić do stanu odmowy usługi.
Numer CVECVE 2023 37557
Krytyczność6,5/10
CVSSA V:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisPo pomyślnym uwierzytelnieniu użytkownika określone spreparowane żądania komunikacyjne mogą spowodować, iż komponent CmpAppBP nadpisze bufor oparty na stercie, co może doprowadzić do stanu odmowy usługi.
Numer CVECVE 2023 37558, CVE 2023 37559
Krytyczność6,5/10
CVSSA V:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisPo pomyślnym uwierzytelnieniu użytkownika określone spreparowane żądania komunikacji o niespójnej treści mogą spowodować, iż komponent CmpAppForce wewnętrznie odczyta z nieprawidłowego adresu, co może prowadzić do warunku odmowy usługi.
AktualizacjaTAK
Linkhttps://search.abb.com/library/Download.aspx?DocumentID=3ADR011264&LanguageCode=en&DocumentPartId=&Action=Launch
Idź do oryginalnego materiału