Une vulnérabilité de criticité moyenne a été corrigée sur plusieurs versions de l’application web NetCADOPS d’ABB. Une exploitation réussie de cette vulnérabilité pourrait permettre d'exposer des informations critiques sur la base de données.
La vulnérabilité pourrait être exploitée à distance à travers un accès au réseau de contrôle du système DMS. Elle est due à une validation impropre des identifiants et mots de passe sur l’interface web de netCADOPS. Ceci peut exposer des informations critiques de la base de données, notamment des informations de configuration système dans des messages d’erreurs.
Impact
- Atteinte de la confidentialité des données
Criticité
- CVSS v3 : 5.8
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Application Web netCADOPS, version 3.4 et ses antérieures ;
- Application Web netCADOPS, version 7.1 et ses antérieures ;
- Application Web netCADOPS, version 7.2x et ses antérieure ;
- Application Web NetCADOPS, version 8.0 et ses antérieures ;
- Application Web netCADOPS, Version 8.1 et ses antérieures.
CVE
- CVE-2018-5477
Correctifs
ABB a publié les versions suivantes pour corriger cette vulnérabilité en améliorant la façon dont les champs d’identification sont validés :
- ADMS 3.4.34.6
- ADMS 7.1.16.1
- ADMS 7.2.10
- ADMS 8.0.20
- ADMS 8.1.7.1
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.