W produktach ABB ASPECT Enterprise, NEXUS Series oraz MATRIX Series wykryto podatność polegającą na zbyt słabych regułach resetowania haseł (CWE-521). Może to prowadzić do przechowywania słabych haseł i w konsekwencji do nieautoryzowanego dostępu do panelu administracyjnego lub aplikacji.
▸ Pokaż oryginał (EN)
Weak Password Reset Rules vulnerabilities where found providing a potiential for the storage of weak passwords that could facilitate unauthorized admin/application access. Affected products: ABB ASPECT - Enterprise v3.07.02; NEXUS Series v3.07.02; MATRIX Series v3.07.02
Mechanizm resetowania hasła w oprogramowaniu nie wymusza stosowania odpowiednio silnych haseł, co pozwala użytkownikom lub atakującym na ustawienie łatwych do odgadnięcia lub złamania haseł. Słabe hasła mogą zostać uzyskane przez atakującego metodami brute force lub atakami słownikowymi. Podatność jest dostępna zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, co znacząco zwiększa ryzyko jej wykorzystania.
Atakujący może uzyskać nieautoryzowany dostęp do konta administratora lub aplikacji, co umożliwia pełną kompromitację systemu zarządzania budynkiem oraz potencjalnie powiązanej infrastruktury.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (dokumentacja ABB o identyfikatorze 9AKK108469A7497). Zaleca się również wymuszenie zmiany haseł na wszystkich kontach administracyjnych oraz wdrożenie polityki silnych haseł.
ABB ASPECT - Enterprise v3.07.02, NEXUS Series v3.07.02, MATRIX Series v3.07.02
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAbb Aspect Ent 12
HWAbbwszystkie wersjeAbb Aspect Ent 12 Firmware
OSAbb≤ 3.07.02Abb Aspect Ent 2
HWAbbwszystkie wersjeAbb Aspect Ent 256
HWAbbwszystkie wersjeAbb Aspect Ent 256 Firmware
OSAbb< 3.08.03Abb Aspect Ent 2 Firmware
OSAbb< 3.08.03Abb Aspect Ent 96
HWAbbwszystkie wersjeAbb Aspect Ent 96 Firmware
OSAbb< 3.08.03Abb Matrix 11
HWAbbwszystkie wersjeAbb Matrix 11 Firmware
OSAbb≤ 3.07.02Abb Matrix 216
HWAbbwszystkie wersjeAbb Matrix 216 Firmware
OSAbb≤ 3.07.02Abb Matrix 232
HWAbbwszystkie wersjeAbb Matrix 232 Firmware
OSAbb≤ 3.07.02Abb Matrix 264
HWAbbwszystkie wersjeAbb Matrix 264 Firmware
OSAbb≤ 3.07.02Abb Matrix 296
HWAbbwszystkie wersjeAbb Matrix 296 Firmware
OSAbb≤ 3.07.02Abb Nexus 2128
HWAbbwszystkie wersjeAbb Nexus 2128 A
HWAbbwszystkie wersjeAbb Nexus 2128 A Firmware
OSAbb< 3.08.03Abb Nexus 2128 F
HWAbbwszystkie wersjeAbb Nexus 2128 F Firmware
OSAbb< 3.08.03Abb Nexus 2128 Firmware
OSAbb< 3.08.03Abb Nexus 2128 G
HWAbbwszystkie wersjeAbb Nexus 2128 G Firmware
OSAbb< 3.08.03Abb Nexus 264
HWAbbwszystkie wersjeAbb Nexus 264 A
HWAbbwszystkie wersjeAbb Nexus 264 A Firmware
OSAbb< 3.08.03Abb Nexus 264 F
HWAbbwszystkie wersje
Powiązane podatności
Zakodowane na stałe dane uwierzytelniające w urządzeniach ABB ASPECT/NEXUS/MATRIX
Enumeracja nazw użytkowników w ABB ASPECT, NEXUS i MATRIX Series
Session Fixation w ABB ASPECT i NEXUS/MATRIX Series — przejęcie sesji użytkownika
RCE poprzez nieprawidłową walidację danych wejściowych w ABB ASPECT/NEXUS/MATRIX
RCE poprzez nieautoryzowany dostęp w urządzeniach ABB ASPECT/NEXUS/MATRIX