Vulnerabilidad en los productos de ordenador de flujo y controlador remoto de ABB (CVE-2022-0902)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
21/07/2022
Última modificación:
27/06/2023
Descripción
Una Limitación Inapropiada de un Nombre de Ruta a un Directorio Restringido ("Salto de Ruta"), una Neutralización Inadecuada de Elementos Especiales Usados en un Comando ("Inyección de Comandos") vulnerabilidad en los productos de ordenador de flujo y controlador remoto de ABB (RMC-100 (Standard), RMC-100-LITE, XIO, XFCG5 , XRCG5 , uFLOG5 , UDC) permite a un atacante que explota con éxito esta vulnerabilidad pueda insertar y ejecutar código arbitrario en un nodo del sistema afectado
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:abb:rmc-100_firmware:*:*:*:*:*:*:*:* | 2105457-037 (excluyendo) | |
| cpe:2.3:h:abb:rmc-100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:abb:rmc-100-lite_firmware:*:*:*:*:*:*:*:* | 2106229-011 (excluyendo) | |
| cpe:2.3:h:abb:rmc-100-lite:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:abb:xio_firmware:*:*:*:*:*:*:*:* | 2106198-008 (excluyendo) | |
| cpe:2.3:h:abb:xio:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:abb:xfcg5_firmware:*:*:*:*:*:*:*:* | 2105805-016 (excluyendo) | |
| cpe:2.3:h:abb:xfcg5:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:abb:xrcg5_firmware:*:*:*:*:*:*:*:* | 2105864-016 (excluyendo) | |
| cpe:2.3:h:abb:xrcg5:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:abb:uflog5_firmware:*:*:*:*:*:*:*:* | 2105298-024 (excluyendo) | |
| cpe:2.3:h:abb:uflog5:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:abb:udc_firmware:*:*:*:*:*:*:*:* | 2106177-007 (excluyendo) | |
| cpe:2.3:h:abb:udc:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página