CRITICAL🇬🇧 English

CVE-2024-51550

Brak walidacji danych wejściowych w urządzeniach ABB ASPECT – możliwość wstrzyknięcia danych

CVSS 9.3v4.0pub. 2024-12-05upd. 2025-02-27

Podatność w oprogramowaniu urządzeń ABB ASPECT, NEXUS i MATRIX umożliwia niezweryfikowanemu atakującemu wstrzyknięcie niezwalidowanych i nieoczyszczonych danych do urządzenia. Oceniona jako krytyczna (CVSS 9.3), stanowi poważne zagrożenie dla systemów automatyki budynkowej.

Pokaż oryginał (EN)

Data Validation / Data Sanitization vulnerabilities in Linux allows unvalidated and unsanitized data to be injected in an Aspect device.  Affected products: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych (CWE-1287) w systemie Linux będącym podstawą oprogramowania urządzeń ABB ASPECT. Atakujący zdalnie, bez uwierzytelnienia i bez żadnej interakcji ze strony użytkownika, może dostarczyć specjalnie spreparowane dane, które zostaną przyjęte i przetworzone przez urządzenie. Brak mechanizmów kontroli danych wejściowych pozwala na ich wstrzyknięcie do logiki działającego systemu.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych urządzenia oraz wpłynąć na integralność przetwarzanych informacji, co w środowisku systemów automatyki budynkowej może prowadzić do zakłócenia działania infrastruktury. Wektor CVSS wskazuje na wysoki wpływ na poufność i integralność danych urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami – szczegółowe informacje dostępne w dokumencie ABB o numerze 9AKK108469A7497 pod adresem wskazanym w referencjach.

Kogo dotyczy

ABB ASPECT - Enterprise w wersji 3.08.02, NEXUS Series w wersji 3.08.02, MATRIX Series w wersji 3.08.02

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Abb Aspect Ent 12

    HW
    Abb
    wszystkie wersje
  • Abb Aspect Ent 12 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Aspect Ent 2

    HW
    Abb
    wszystkie wersje
  • Abb Aspect Ent 256

    HW
    Abb
    wszystkie wersje
  • Abb Aspect Ent 256 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Aspect Ent 2 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Aspect Ent 96

    HW
    Abb
    wszystkie wersje
  • Abb Aspect Ent 96 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 11

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 11 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 216

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 216 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 232

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 232 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 264

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 264 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Matrix 296

    HW
    Abb
    wszystkie wersje
  • Abb Matrix 296 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 2128

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 2128 A

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 2128 A Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 2128 F

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 2128 F Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 2128 Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 2128 G

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 2128 G Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 264

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 264 A

    HW
    Abb
    wszystkie wersje
  • Abb Nexus 264 A Firmware

    OS
    Abb
    < 3.08.03
  • Abb Nexus 264 F

    HW
    Abb
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-51547CRITICAL9.3PL ✓ten sam produkt

Zakodowane na stałe dane uwierzytelniające w urządzeniach ABB ASPECT/NEXUS/MATRIX

CVE-2024-48845CRITICAL9.3PL ✓ten sam produkt

Słabe reguły resetowania hasła w urządzeniach ABB ASPECT i NEXUS/MATRIX

CVE-2024-11317CRITICAL9.3PL ✓ten sam produkt

Session Fixation w ABB ASPECT i NEXUS/MATRIX Series — przejęcie sesji użytkownika

CVE-2024-48839CRITICAL9.3PL ✓ten sam produkt

RCE poprzez nieprawidłową walidację danych wejściowych w ABB ASPECT/NEXUS/MATRIX

CVE-2024-48840CRITICAL9.3PL ✓ten sam produkt

RCE poprzez nieautoryzowany dostęp w urządzeniach ABB ASPECT/NEXUS/MATRIX

CVE-2024-51550 — Brak walidacji danych wejściowych w urządzeniach ABB ASPECT – możliwość wstrzyknięcia danych — CRITICAL 9.3 | CVEbaza.pl