多款ABB产品输入验证错误漏洞

CVE编号

CVE-2020-8475

利用情况

暂无

补丁情况

N/A

披露时间

2020-04-29

漏洞描述

ABB Ability System 800xA等都是瑞士ABB公司的产品。ABB Ability System 800xA是一套用于工控行业的分布式控制系统。ABB Compact HMI是一套监控和数据采集系统。ABB Control Builder Safe是一款用于配置和下载AC 800M High Integrity安全应用程序的工程工具。 多款ABB产品中的Central Licensing Server组件存在输入验证错误漏洞。攻击者可利用该漏洞造成拒绝服务。以下产品及受到影响：ABB Ability System 800xA（和相关的系统扩展）5.1版本，6.0版本，6.1版本；Compact HMI 5.1版本，6.0版本；Control Builder Safe 1.0版本，1.1版本，2.0版本；Symphony Plus -S+ Operations 3.0版本至3.2版本；Symphony Plus -S+ Engineering 1.1版本至2.2版本；Composer Harmony 5.1版本，6.0版本，6.1版本；Melody Composer 5.3版本，6.1版本，6.2版本；SPE for Melody 1.0SPx (Composer 6.3版本)；Harmony OPC Server (HAOPC) Standalone 6.0版本，6.1版本，7.0版本；ABB Ability System 800xA/ Advant OCS Control Builder A 1.3版本，1.4版本；Advant OCS AC100 OPC Server 5.1版本，6.0版本，6.1版本；Composer CTK 6.1版本，6.2版本；AdvaBuild 3.7 SP1版本，3.7 SP2版本；OPCServer for MOD 300 (non-800xA) 1.4版本；OPC Data Link 2.1版本，2.2版本；Knowledge Manager 8.0版本，9.0版本，9.1版本；Manufacturing Operations Management 1812版本，1909版本。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://search.abb.com/library/Download.aspx?DocumentID=2PAA121230&LanguageCo...
https://search.abb.com/library/Download.aspx?DocumentID=2PAA121231&LanguageCo...
https://search.abb.com/library/Download.aspx?DocumentID=3CCA2020-003309&Langu...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	abb	800xa_system	5.1	-
	运行在以下环境
	应用	abb	800xa_system	6.0	-
	运行在以下环境
	应用	abb	800xa_system	6.0.1	-
	运行在以下环境
	应用	abb	800xa_system	6.0.3	-
	运行在以下环境
	应用	abb	800xa_system	6.0.3.3	-
	运行在以下环境
	应用	abb	800xa_system	6.1	-
	运行在以下环境
	应用	abb	compact_hmi	5.1	-
	运行在以下环境
	应用	abb	compact_hmi	6.0.1-1	-
	运行在以下环境
	应用	abb	compact_hmi	6.0.3-2	-
	运行在以下环境
	应用	abb	control_builder_safe	1.0	-
	运行在以下环境
	应用	abb	control_builder_safe	1.1	-
	运行在以下环境
	应用	abb	control_builder_safe	2.0	-

CVSS3评分 7.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

Exp相关链接

- avd.aliyun.com