Firma ABB informuje o nowych podatnościach w swoich produktach. (P25-128)

cert.pse-online.pl 3 dni temu

Produkt	Ekip Com IEC61850 – wersje starsze niż 3.08
Numer CVE	CVE-2022-38138
Krytyczność	6.0/10
CVSS	AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:O/RC:C
Opis	Istnieje luka w zabezpieczeniach biblioteki innej firmy zawartej w wersjach produktów wymienionych powyżej. Atakujący może wykorzystać lukę, wysyłając specjalnie spreparowaną wiadomość do węzła systemowego, powodując zatrzymanie węzła lub jego niedostępność

Aktualizacja	TAK
Link	https://search.abb.com/library/Download.aspx?DocumentID=2CRT000007&LanguageCode=en&DocumentPartId=PDF&Action=Launch

Produkt	ABB Automation Builder – wszystkie wersje
Numer CVE	CVE-2025-3394
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Automation Builder przechowuje wszystkie informacje o zarządzaniu użytkownikami w pliku projektu. Pomimo w pełni zaszyfrowanych danych hasła, atakujący może próbować modyfikować części pliku projektu Automation Builder dzięki specjalnie spreparowanej zawartości, tak aby zarządzanie użytkownikami zostało unieważnione

Numer CVE	CVE-2025-3395
Krytyczność	7.1/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Opis	Projekty Automation Builder, w tym urządzenia AC500 V2 lub SM560-S, zawierają pliki aplikacji dla tych urządzeń. Atakujący może próbować modyfikować części tych plików, aby projekt mógł zostać zmieniony przez unieważnienie zarządzania użytkownikami Automation Builder.

Aktualizacja	TAK
Link	https://search.abb.com/library/Download.aspx?DocumentID=3ADR011407&LanguageCode=en&DocumentPartId=&Action=Launch

Produkt	ANC – wersje wcześniejsze niż 1.1.4 ANC-L – wersje wcześniejsze niż 1.1.4 ANC-mini – wersje wcześniejsze niż 1.1.4
Numer CVE	CVE-2024-47784
Krytyczność	2.6/10
CVSS	AV:A/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N/RL:O/RC:C
Opis	Niezweryfikowana zmiana hasła w wersji systemu ANC <= 1.1.4 umożliwia uwierzytelnionemu atakującemu ominięcie starego sprawdzania hasła w formularzu zmiany hasła za pośrednictwem interfejsu HMI. Wymaganie starego hasła jest powszechną praktyką bezpieczeństwa, która dodaje dodatkową warstwę ochrony przed nieautoryzowanymi zmianami. Bez potrzeby starego hasła atakujący, choćby z tymczasowym dostępem do sesji użytkownika, mógłby łatwo zmienić hasło i zablokować prawowitego użytkownika.

Numer CVE	CVE-2024-9876
Krytyczność	7.3/10
CVSS	AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N/RL:O/RC:C
Opis	Użytkownik niebędący administratorem może uzyskać dostęp do strony administracyjnej, gdzie może wykonywać wszystkie czynności, które powinny być ograniczone wyłącznie do użytkownika z uprawnieniami administratora. Luka wynikała z nieprawidłowej walidacji na serwerze HMI w sieci Web

Numer CVE	CVE-2024-9877
Krytyczność	4.3/10
CVSS	AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/RL:O/RC:C
Opis	Luka w zabezpieczeniach polegająca na wykorzystaniu metody żądania GET z poufnymi ciągami zapytania umożliwia atakującemu podgląd hasła w postaci zwykłego tekstu, jeżeli jest on w stanie odczytać żądania GET kierowane do tych usług.

Aktualizacja	TAK
Link	https://search.abb.com/library/Download.aspx?DocumentID=2CRT000006&LanguageCode=en&DocumentPartId=PDF&Action=Launch