Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos ABB

Fecha de publicación 08/01/2025
Identificador
INCIBE-2025-0003
Importancia
5 - Crítica
Recursos Afectados

Los siguientes productos están afectados:

  • ABB NEXUS Series: NEXUS-3-x;
  • ABB NEXUS Series: NEX-2x;
  • ABB ASPECT-Enterprise: ASP-ENT-x;
  • ABB MATRIX Series: MAT-x;
  • ABB ASPECT-Enterprise: ASP-ENT-x;
  • Toda la serie de productos AC500 V3 (PM5xxx).

La relación de versiones afectadas puede consultarse en las referencias.

Descripción

Varios investigadores han reportado 31 vulnerabilidades: 16 de severidad crítica, 14 altas y 1 media. La explotación de estas vulnerabilidades podría permitir a un atacante interrumpir las operaciones o ejecutar código remoto.

Solución

ABB ha lanzado soluciones y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo de las vulnerabilidades. ABB recomienda a sus clientes que apliquen las distintas actualizaciones lo antes posible.

Para más información acerca de las versiones correctores, consultar los avisos incluidos en las referencias.

Detalle

Las vulnerabilidades de severidad crítica publicadas tienen asignados los siguientes identificadores y tipo de vulnerabilidad:

  • CVE-2024-6209: archivos o directorios accesibles a terceros;
  • CVE-2024-6298: validación incorrecta del tipo de entrada especificado;
  • CVE-2024-6515: transmisión de información sensible en texto claro;
  • CVE-2024-6516: Cross-Site Scripting (XSS);
  • CVE-2024-6784: Server-Side Request Forgery (SSRF);
  • CVE-2024-48845: requisitos para contraseñas débiles;
  • CVE-2024-48839: inyección de código;
  • CVE-2024-48840: inyección de código;
  • CVE-2024-51545: credenciales insuficientemente protegidas;
  • CVE-2024-51548: carga sin restricciones de archivos de tipo peligroso;
  • CVE-2024-51549: Absolute Path Traversal;
  • CVE-2024-51550: validación incorrecta del tipo de entrada especificado;
  • CVE-2024-51551: uso de credenciales por defecto;
  • CVE-2024-51554: "Off-by-one Error";
  • CVE-2024-51555: uso de la contraseña por defecto;
  • CVE-2024-11317: fijación de la sesión.

El detalle del resto de vulnerabilidades cuya severidad no es crítica, puede consultarse en los avisos incluidos en las referencias.