Podatność CWE-522 w systemach ABB ASPECT Enterprise, NEXUS Series oraz MATRIX Series umożliwia nieuwierzytelnionemu atakującemu zdalne wykonywanie operacji zarządzania kontami użytkowników. Ze względu na brak odpowiednich mechanizmów ochrony danych uwierzytelniających, podatność ta jest oceniona jako krytyczna (CVSS 9.3).
▸ Pokaż oryginał (EN)
Username Enumeration vulnerabilities allow access to application level username add, delete, modify and list functions. Affected products: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02
Podatność wynika z niewystarczającej ochrony danych uwierzytelniających (CWE-522), co skutkuje możliwością enumeracji nazw użytkowników na poziomie aplikacji. Atakujący sieciowy, bez żadnych uprawnień i bez interakcji użytkownika, może uzyskać dostęp do funkcji dodawania, usuwania, modyfikowania oraz listowania kont użytkowników. Brak mechanizmów blokujących nieuprawniony dostęp do tych operacji pozwala na pełną manipulację bazą użytkowników systemu.
Atakujący może dowolnie dodawać, usuwać, modyfikować oraz przeglądać listę kont użytkowników w systemie, co prowadzi do całkowitej kompromitacji integralności i poufności zarządzania dostępem. W efekcie możliwe jest przejęcie kontroli nad systemem zarządzania budynkami lub jego destabilizacja.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — dokumentacja ABB o identyfikatorze 9AKK108469A7497 dostępna pod adresem wskazanym w referencjach producenta.
ABB ASPECT - Enterprise v3.08.02, NEXUS Series v3.08.02, MATRIX Series v3.08.02
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAbb Aspect Ent 12
HWAbbwszystkie wersjeAbb Aspect Ent 12 Firmware
OSAbb< 3.08.03Abb Aspect Ent 2
HWAbbwszystkie wersjeAbb Aspect Ent 256
HWAbbwszystkie wersjeAbb Aspect Ent 256 Firmware
OSAbb< 3.08.03Abb Aspect Ent 2 Firmware
OSAbb< 3.08.03Abb Aspect Ent 96
HWAbbwszystkie wersjeAbb Aspect Ent 96 Firmware
OSAbb< 3.08.03Abb Matrix 11
HWAbbwszystkie wersjeAbb Matrix 11 Firmware
OSAbb< 3.08.03Abb Matrix 216
HWAbbwszystkie wersjeAbb Matrix 216 Firmware
OSAbb< 3.08.03Abb Matrix 232
HWAbbwszystkie wersjeAbb Matrix 232 Firmware
OSAbb< 3.08.03Abb Matrix 264
HWAbbwszystkie wersjeAbb Matrix 264 Firmware
OSAbb< 3.08.03Abb Matrix 296
HWAbbwszystkie wersjeAbb Matrix 296 Firmware
OSAbb< 3.08.03Abb Nexus 2128
HWAbbwszystkie wersjeAbb Nexus 2128 A
HWAbbwszystkie wersjeAbb Nexus 2128 A Firmware
OSAbb< 3.08.03Abb Nexus 2128 F
HWAbbwszystkie wersjeAbb Nexus 2128 F Firmware
OSAbb< 3.08.03Abb Nexus 2128 Firmware
OSAbb< 3.08.03Abb Nexus 2128 G
HWAbbwszystkie wersjeAbb Nexus 2128 G Firmware
OSAbb< 3.08.03Abb Nexus 264
HWAbbwszystkie wersjeAbb Nexus 264 A
HWAbbwszystkie wersjeAbb Nexus 264 A Firmware
OSAbb< 3.08.03Abb Nexus 264 F
HWAbbwszystkie wersje
Powiązane podatności
Zakodowane na stałe dane uwierzytelniające w urządzeniach ABB ASPECT/NEXUS/MATRIX
Słabe reguły resetowania hasła w urządzeniach ABB ASPECT i NEXUS/MATRIX
Session Fixation w ABB ASPECT i NEXUS/MATRIX Series — przejęcie sesji użytkownika
RCE poprzez nieprawidłową walidację danych wejściowych w ABB ASPECT/NEXUS/MATRIX
RCE poprzez nieautoryzowany dostęp w urządzeniach ABB ASPECT/NEXUS/MATRIX