Vulnerabilidad en Symphony Plus S+ Operations, Symphony Plus S+ Engineering y Symphony Plus S+ Analyst (CVE-2024-0335)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-23 Limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal)

Fecha de publicación:

03/04/2024

Última modificación:

19/09/2024

Descripción

ABB ha identificado internamente una vulnerabilidad en la función ABB VPNI del componente S+ Control API que puede ser utilizada por varios productos Symphony Plus (por ejemplo, S+ Operations, S+ Engineering y S+ Analyst). Este problema afecta a Symphony Plus S+ Operations: desde 3.. 0;0 a 3.3 SP1 RU4, de 2.1;0 a 2.1 SP2 RU3, de 2.0;0 a 2.0 SP6 TC6; Symphony Plus S+ Engineering: de 2.1 a 2.3 RU3; Symphony Plus S+ Analyst: desde 7.0.0.0 hasta 7.2.0.2.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://search.abb.com/library/Download.aspx?DocumentID=7PAA002536&LanguageCode=en&DocumentPartId=&Action=Launch