ICS-CERT informuje o nowych podatnościach w produktach firmy ABB. (P23-020)

utworzone przez | mar 24, 2023 | ICS

ProduktABB Infinity DC Power Plant – H5692448 G104 G842 G224L G630-4 G451C(2) G461(2) – kod komodowy  150047415
ABB Pulsar Plus System Controller – NE843_S – kod komodowy  150042936
Numer CVECVE-2022-1607
Krytyczność4.6/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
OpisNa stronach internetowych znajduje się kilka pól, w których użytkownik może wpisać dowolny tekst, np. opis alarmu lub prostownika. Stanowią one lukę w zabezpieczeniach typu cross-site scripting, w której jako opis można wprowadzić kod JavaScript, co może spowodować interakcje systemowe nieznane użytkownikowi. Te problemy zostały rozwiązane przez dodanie sprawdzania każdej aktualizacji pola w celu odrzucenia podejrzanych wpisów.
  
Numer CVECVE-2022-26080
Krytyczność6.3/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:L/I:H/A:N
OpisKażda interakcja z serwerem WWW wymaga identyfikatora sesji, który jest przypisywany do sesji po pomyślnym zalogowaniu. Zgłoszona luka polega na tym, że identyfikatory sesji były zbyt krótkie (16 bitów), zbyt przewidywalne (identyfikatory po prostu zwiększały się) i były wyraźnie widoczne w adresach URL stron internetowych. Te problemy zostały rozwiązane przez przepisanie serwera WWW zgodnie z zalecanymi najlepszymi praktykami.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-082-05