CVE-2020-24674

Improper Authorization in Symphony Plus

CVSS 8.8 HIGHEPSS 2.9%CWE-285

Em resumo

O Symphony Plus tem um problema onde alguns comandos não verificam corretamente as permissões do usuário. Isso permite que um usuário autenticado execute ações que não deveria, como derrubar o sistema ou executar código malicioso.

Detalhe técnico

Vulnerabilidade de autorização imprópria (CWE-285) em S+ Operations e S+ Historian permite que usuários autenticados, mas sem as permissões necessárias, contornem verificações em certos comandos, possibilitando ataques de negação de serviço, execução de código arbitrário ou escalação de privilégio.

Resumo gerado e traduzido por IA a partir da descrição oficial.

In S+ Operations and S+ Historian, not all client commands correctly check user permission as expected. Authenticated but Unauthorized remote users could execute a Denial-of-Service (DoS) attack, execute arbitrary code, or obtain more privilege than intended on the machines.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

ABB · ABB Ability™ Symphony® Plus Historian ABB · ABB Ability™ Symphony® Plus Operations

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://search.abb.com/library/Download.aspx?DocumentID=2PAA123980&LanguageCode=en&DocumentPartId=&Action=Launch https://search.abb.com/library/Download.aspx?DocumentID=2PAA123982&LanguageCode=en&DocumentPartId=&Action=Launch