Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Modificación indebidamente controlada de atributos en RMC-100 de ABB

Fecha de publicación 13/03/2025
Identificador
INCIBE-2025-0137
Importancia
4 - Alta
Recursos Afectados
  • RMC-100 2105457-036 a 2105457-044, incluida;
  • RMC-100 LITE 2106229-010 a 2106229-016, incluida.
Descripción

ABB ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante detener la interfaz de usuario web.

Solución

Actualizar a la última versión de los productos, donde el problema ya está resuelto:

  • RMC-100 Customer Package (2105452-048)
  • RMC-100 LITE Customer Package (2106260-017)

Adicionalmente, ABB recomienda desactivar la interfaz REST cuando no se utilice para configurar la funcionalidad MQTT, aunque, por defecto, la interfaz REST está desactivada.

Detalle

La vulnerabilidad se produce en la interfaz de usuario web (interfaz REST). Un atacante podría explotar la vulnerabilidad enviando un mensaje especialmente diseñado al nodo web UI, provocando un cuelgue del proceso Node y obligando a reiniciar la interfaz REST (desactivar/activar). 

Se ha asignado el identificador CVE-2022-24999 para esta vulnerabilidad.