Vulnerabilidad en el componente Central Licensing Server en los productos ABB Ability™ (CVE-2020-8475)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

29/04/2020

Última modificación:

28/10/2022

Descripción

Para el componente Central Licensing Server utilizado en los productos ABB Ability™ System 800xA y las extensiones del sistema relacionadas, versiones 5.1, 6.0 y 6.1, Compact HMI versiones 5.1 y 6.0, Control Builder Safe 1.0, 1.1 y 2.0, Symphony Plus -S+ Operations 3.0 a 3. 2 Symphony Plus -S+ Engineering 1.1 a 2.2, Composer Harmony 5.1, 6.0 y 6.1, Melody Composer 5.3, 6.1/6.2 y SPE para Melody 1.0SPx (Composer 6.3), Harmony OPC Server (HAOPC) Standalone 6.0, 6.1 y 7.0, ABB Ability™ System 800xA/ Advant® OCS Control Builder A 1. 3 y 1.4, Advant® OCS AC100 OPC Server 5.1, 6.0 y 6.1, Composer CTK 6.1 y 6.2, AdvaBuild 3.7 SP1 y SP2, OPCServer for MOD 300 (non-800xA) 1.4, OPC Data Link 2.1 y 2.2, Knowledge Manager 8.0, 9.0 y 9. 1, Manufacturing Operations Management 1812 y 1909, ABB AbilityTM SCADAvantage versiones 5.1 a 5.6.5, existe una debilidad en la validación de la entrada que permite a un atacante bloquear la gestión de licencias enviando mensajes especialmente diseñados al servicio web CLS

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:L/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: AV:L/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0

2.10

Gravedad 2.0

BAJA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:abb:800xa_system:5.1:-::::::
cpe:2.3:a:abb:800xa_system:5.1:feature_pack_4::::::
cpe:2.3:a:abb:800xa_system:5.1:feature_pack_4_revision_d::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_a::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_b::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_c::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_d::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_e::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_e_feature_pack_4::::::
cpe:2.3:a:abb:800xa_system:6.0:::::::*
cpe:2.3:a:abb:800xa_system:6.0.1:::::::*
cpe:2.3:a:abb:800xa_system:6.0.3:::::::*
cpe:2.3:a:abb:800xa_system:6.0.3.3:::::::*
cpe:2.3:a:abb:800xa_system:6.1:::::::*
cpe:2.3:a:abb:compact_hmi:5.1:-::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:abb:800xa_system:5.1:-::::::
cpe:2.3:a:abb:800xa_system:5.1:feature_pack_4::::::
cpe:2.3:a:abb:800xa_system:5.1:feature_pack_4_revision_d::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_a::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_b::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_c::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_d::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_e::::::
cpe:2.3:a:abb:800xa_system:5.1:revision_e_feature_pack_4::::::
cpe:2.3:a:abb:800xa_system:6.0:::::::*
cpe:2.3:a:abb:800xa_system:6.0.1:::::::*
cpe:2.3:a:abb:800xa_system:6.0.3:::::::*
cpe:2.3:a:abb:800xa_system:6.0.3.3:::::::*
cpe:2.3:a:abb:800xa_system:6.1:::::::*
cpe:2.3:a:abb:compact_hmi:5.1:-::::::

Vulnerabilidad en el componente Central Licensing Server en los productos ABB Ability™ (CVE-2020-8475)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información