BDU:2024-10621

Опубликовано: 23 июн. 2023

Источник: fstec

CVSS3: 6.1

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость программно-аппаратных средств контроля и защиты SCADA-систем ABB REX640 связана с Sensitive Cookie без флага "HttpOnly". Эксплуатация уязвимости позволяет нарушителю проводить межсайтовый скриптинг (XSS)

Вендор

ABB

Наименование ПО

ABB Relion REX640 PCL1

ABB Relion REX640 PCL2

ABB Relion REX640 PCL3

Версия ПО

до 1.0.8 (ABB Relion REX640 PCL1)

до 1.1.4 (ABB Relion REX640 PCL2)

до 1.2.1 (ABB Relion REX640 PCL3)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций: https://search.abb.com/library/Download.aspx?DocumentID=2NGA001423&LanguageCode=en&DocumentPartId=&Action=Launch

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-2876
CVE

EPSS

Процентиль: 41%

0.00188

Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2023-2876

CVSS3: 3.1

nvd

около 2 лет назад

Sensitive Cookie Without 'HttpOnly' Flag vulnerability in ABB REX640 PCL1 (firmware modules), ABB REX640 PCL2 (Firmware modules), ABB REX640 PCL3 (firmware modules) allows Cross-Site Scripting (XSS).This issue affects REX640 PCL1: from 1.0;0 before 1.0.8; REX640 PCL2: from 1.0;0 before 1.1.4; REX640 PCL3: from 1.0;0 before 1.2.1.

GHSA-xxww-73xw-x3fj