Vulnerabilidad Cross-site Scripting en ABB System 800xA Information Manager

Fecha de publicación 03/07/2020
Importancia
4 - Alta
Recursos Afectados

System 800xA Information Manager, versiones:

  • anteriores a 5.1 Rev E/5.1 FP4 Rev E TC6;
  • anteriores a 6.0.3.3 RU1;
  • anteriores a 6.1 RU1.
Descripción

El investigador William Knowles ha reportado una vulnerabilidad de tipo Cross-site Scripting en ABB System 800xA Information Manager que permitiría inyectar y ejecutar código arbitrario en el servidor.

Solución

Esta vulnerabilidad se corrige en las siguientes versiones de ABB System 800xA Information Manager:

  • 5.1 Rev E/5.1 FP4 E TC6: ABB recomienda a los usuarios en la rama 5.1 que instalen este TC, que se puede obtener a través de una petición al soporte técnico;
  • 6.0.3.3 RU1: ABB recomienda a los usuarios de la rama 6.0.3 LTS que actualicen 6.0.3.3 e instalen RU1;
  • 6.1 RU1: ABB recomienda a los usuarios de la rama 6.1 que actualicen a esta versión.

Los paquetes acumulativos de Information Manager para 6.0.3.3 y 6.1 se pueden descargar desde My ABB/My Control System.

Detalle

La vulnerabilidad reportada en ABB System 800xA Information Manager podría permitir que un atacante ejecute código arbitrario de forma remota a través de un Cross-site Scripting. Para utilizar esta vulnerabilidad el atacante necesita engañar a un usuario con el componente de Information Manager vulnerable instalado en su equipo para que visite un sitio web manipulado. Se ha asignado el identificador CVE-2020-8477 para esta vulnerabilidad

Encuesta valoración