Vulnerabilidad Cross-site Scripting en ABB System 800xA Information Manager
System 800xA Information Manager, versiones:
- anteriores a 5.1 Rev E/5.1 FP4 Rev E TC6;
- anteriores a 6.0.3.3 RU1;
- anteriores a 6.1 RU1.
El investigador William Knowles ha reportado una vulnerabilidad de tipo Cross-site Scripting en ABB System 800xA Information Manager que permitiría inyectar y ejecutar código arbitrario en el servidor.
Esta vulnerabilidad se corrige en las siguientes versiones de ABB System 800xA Information Manager:
- 5.1 Rev E/5.1 FP4 E TC6: ABB recomienda a los usuarios en la rama 5.1 que instalen este TC, que se puede obtener a través de una petición al soporte técnico;
- 6.0.3.3 RU1: ABB recomienda a los usuarios de la rama 6.0.3 LTS que actualicen 6.0.3.3 e instalen RU1;
- 6.1 RU1: ABB recomienda a los usuarios de la rama 6.1 que actualicen a esta versión.
Los paquetes acumulativos de Information Manager para 6.0.3.3 y 6.1 se pueden descargar desde My ABB/My Control System.
La vulnerabilidad reportada en ABB System 800xA Information Manager podría permitir que un atacante ejecute código arbitrario de forma remota a través de un Cross-site Scripting. Para utilizar esta vulnerabilidad el atacante necesita engañar a un usuario con el componente de Information Manager vulnerable instalado en su equipo para que visite un sitio web manipulado. Se ha asignado el identificador CVE-2020-8477 para esta vulnerabilidad