Produkt | ABB Infinity DC Power Plant – H5692448 G104 G842 G224L G630-4 G451C(2) G461(2) – kod komodowy 150047415 ABB Pulsar Plus System Controller – NE843_S – kod komodowy 150042936 |
Numer CVE | CVE-2022-1607 |
Krytyczność | 4.6/10 |
CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
Opis | Na stronach internetowych znajduje się kilka pól, w których użytkownik może wpisać dowolny tekst, np. opis alarmu lub prostownika. Stanowią one lukę w zabezpieczeniach typu cross-site scripting, w której jako opis można wprowadzić kod JavaScript, co może spowodować interakcje systemowe nieznane użytkownikowi. Te problemy zostały rozwiązane przez dodanie sprawdzania każdej aktualizacji pola w celu odrzucenia podejrzanych wpisów. |
Numer CVE | CVE-2022-26080 |
Krytyczność | 6.3/10 |
CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:H/A:N |
Opis | Każda interakcja z serwerem WWW wymaga identyfikatora sesji, który jest przypisywany do sesji po pomyślnym zalogowaniu. Zgłoszona luka polega na tym, iż identyfikatory sesji były zbyt krótkie (16 bitów), zbyt przewidywalne (identyfikatory po prostu zwiększały się) i były wyraźnie widoczne w adresach URL stron internetowych. Te problemy zostały rozwiązane przez przepisanie serwera WWW zgodnie z zalecanymi najlepszymi praktykami. |
Aktualizacja | TAK |
Link | https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-05 |