CRITICAL🇬🇧 English

CVE-2025-14510

Błędna implementacja algorytmu uwierzytelnienia w ABB Ability OPTIMAX

CVSS 9.2v4.0pub. 2026-01-16upd. 2026-04-15

Podatność klasy CWE-303 (Incorrect Implementation of Authentication Algorithm) w systemie ABB Ability OPTIMAX umożliwia nieuwierzytelnionemu atakującemu zdalne naruszenie mechanizmów uwierzytelnienia. Ocena CVSS 9.2 (CRITICAL) wskazuje na poważne ryzyko utraty poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

Incorrect Implementation of Authentication Algorithm vulnerability in ABB ABB Ability OPTIMAX.This issue affects ABB Ability OPTIMAX: 6.1, 6.2, from 6.3.0 before 6.3.1-251120, from 6.4.0 before 6.4.1-251120.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej implementacji algorytmu uwierzytelnienia w produkcie ABB Ability OPTIMAX. Tego rodzaju podatność (CWE-303) oznacza, że logika weryfikacji tożsamości jest zaimplementowana w sposób niezgodny ze specyfikacją lub umożliwiający jej ominięcie. Atakujący z dostępem sieciowym może potencjalnie wyminąć procedury uwierzytelnienia bez znajomości prawidłowych danych logowania. Wektor ataku jest sieciowy, jednak wymaga spełnienia pewnych warunków technicznych (AC:H, AT:P).

Skutki

Skuteczne wykorzystanie podatności może pozwolić nieuwierzytelnionemu atakującemu na uzyskanie nieautoryzowanego dostępu do systemu, co grozi ujawnieniem poufnych danych, naruszeniem integralności konfiguracji oraz zakłóceniem dostępności systemu zarządzania energią OPTIMAX.

Mitygacja

Należy zaktualizować ABB Ability OPTIMAX do wersji 6.3.1-251120 (dla gałęzi 6.3.x) lub 6.4.1-251120 (dla gałęzi 6.4.x). Szczegółowe informacje i materiały serwisowe dostępne są w dokumentacji producenta pod identyfikatorem 9AKK108472A1331 na stronie ABB Library. Wersje 6.1 oraz 6.2 nie mają wskazanego patcha w opisie — należy skontaktować się z dostawcą w celu ustalenia ścieżki migracji.

Kogo dotyczy

ABB Ability OPTIMAX w wersjach 6.1, 6.2, od 6.3.0 przed 6.3.1-251120 oraz od 6.4.0 przed 6.4.1-251120

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje