Múltiples vulnerabilidades en Ability Symphony Plus Engineering de ABB

Fecha de publicación 14/04/2026

Identificador

INCIBE-2026-278

Importancia

4 - Alta

Recursos Afectados

Las siguientes versiones de ABB Ability Symphony Plus:

S+ Engineering 2.2;
S+ Engineering 2.3, 2.3 RU1, 2.3 RU2 y 2.3 RU3;
S+ Engineering 2.4, 2.4 SP1 y 2.4 SP2.

Descripción

ABB ha publicado un aviso donde informa de 4 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante que se encuentre en la misma red que el producto afectado, ejecutar código arbitrario y, potencialmente, comprometer todo el sistema.

Solución

Para los productos afectados, independientemente de su versión, actualizar a la versión S+ Engineering 2.4 SP2 RU1 (lanzada en diciembre de 2024) o superior.

Detalle

CVE-2023-5869: un atacante autenticado como un usuario PostgreSQL puede proporcionar datos manipulados y provocar un desbordamiento de entero debido a la falta de comprobación de dicha información. Esto puede permitir la ejecución de código arbitrario en el sistema.
CVE-2023-39417: si un administrador ha instalado scripts Extension que utilizan unos datos específicos dentro de una construcción entre comillas, un atacante con los privilegios adecuados de PostgreSQL puede ejecutar código arbitrario en el sistema como administrador.
CVE-2024-7348: una condición de carrera "Tiempo de comprobación tiempo de uso" (TOCTOU, por sus siglas en inglés) en PostgreSQL puede permitir a un atacante ejecutar fácilmente funciones SQL arbitrarias aprovechando una utilidad de PostgreSQL que suele ejecutarse con muchos privilegios.
CVE-2024-0985: un atacante puede proporcionar vistas materializadas no fiables y engañar a un usuario autorizado con muchos privilegios para que ejecute funciones SQL arbitrarias inadvertidamente al refrescar la vista materializada del atacante.

CVE