| Produkt | ABB 800xA History – wersje 7.0 i wcześniejsze ABB Batch Management – wersje 6.2 i wcześniejsze ABB Production Response Batch History – wersje 6.2 i wcześniejsze ABB 800xA for Symphony Plus Harmony – wersje 6.2 i wcześniejsze ABB 800xA for AC 870P Melody – wersje 6.2 i wcześniejsze ABB Application Change Management – wersje 6.2 i wcześniejsze |
| Numer CVE | CVE-2025-55188 |
| Krytyczność | 3.6/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N/E:P/RL:O/RC:C |
| Opis | W produktach 800xA zidentyfikowano podatność w dołączonym oprogramowaniu 7-Zip oraz Microsoft Azure Data Studio. Obecność tych dwóch programów firm trzecich nie wpływa na funkcjonalność ani działanie produktów 800xA i mogą one zostać bezpiecznie odinstalowane. Starsze wersje 7-Zip nie zawsze prawidłowo obsługują dowiązania symboliczne podczas rozpakowywania archiwów. |
| Numer CVE | CVE-2025-53817 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C |
| Opis | W produkcie 800xA występuje podatność w dołączonym oprogramowaniu 7-Zip oraz Microsoft Azure Data Studio. Obecność tych dwóch programów firm trzecich nie wpływa na funkcjonalność ani działanie produktów 800xA i mogą one zostać bezpiecznie odinstalowane. Program 7-Zip obsługuje wypakowywanie danych z dokumentów złożonych (Compound Documents). W wersjach wcześniejszych niż 25.0.0 błąd dereferencji pustego wskaźnika w module obsługi plików złożonych może prowadzić do odmowy usługi (DoS). Wersja 25.0.0 zawiera poprawkę rozwiązującą ten problem. |
| Numer CVE | CVE-2025-53816 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
| Opis | Zera zapisywane poza buforem sterty w module obsługi formatu RAR5 mogą prowadzić do uszkodzenia pamięci i odmowy usługi (DoS) w odpowiednich wersjach programu 7-Zip. |
| Numer CVE | CVE-2025-11002 |
| Krytyczność | 7.0/10 |
| CVSS | AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Ta podatność umożliwia zdalnym napastnikom wykonanie dowolnego kodu na dotkniętych nią instalacjach programu 7-Zip. Specjalnie spreparowane dane w pliku ZIP mogą spowodować, iż proces wykona operację przejścia do niezamierzonych katalogów (directory traversal). |
| Numer CVE | CVE-2025-11001 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Ta podatność umożliwia zdalnym napastnikom wykonanie dowolnego kodu na zainfekowanych instalacjach programu 7-Zip. Spreparowane dane w pliku ZIP mogą spowodować, iż proces wykona operację przejścia do niezamierzonych katalogów (directory traversal). |
| Numer CVE | CVE-2025-0411 |
| Krytyczność | 7.0/10 |
| CVSS | AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C |
| Opis | Ta podatność umożliwia zdalnym napastnikom obejście mechanizmu ochrony Mark-of-the-Web w dotkniętych nią instalacjach programu 7-Zip. Do wykorzystania tej luki wymagana jest interakcja z użytkownikiem, polegająca na odwiedzeniu złośliwej strony internetowej lub otwarciu złośliwego pliku przez ofiarę. |
| Numer CVE | CVE-2024-11612 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
| Opis | Ta podatność umożliwia zdalnym napastnikom wywołanie stanu odmowy usługi (denial-of-service) w dotkniętych nią instalacjach programu 7-Zip. |
| Numer CVE | CVE-2024-11477 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C |
| Opis | Ta podatność umożliwia zdalnym napastnikom wykonanie dowolnego kodu na dotkniętych nią instalacjach programu 7-Zip. Do wykorzystania tej luki wymagana jest interakcja z daną biblioteką. |
| Numer CVE | CVE-2023-52169 |
| Krytyczność | 8.2/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H/E:U/RL:O/RC:C |
| Opis | W module obsługi NTFS (plik NtfsHandler.cpp) w programie 7-Zip w wersjach wcześniejszych niż 24.01 (dla 7zz) występuje błąd odczytu poza wyznaczonymi granicami (out-of-bounds read), który pozwala napastnikowi na odczyt danych spoza zamierzonego bufora. Bajty odczytane poza buforem są prezentowane jako część nazwy pliku wyświetlanej w obrazie systemu plików. |
| Numer CVE | CVE-2023-52168 |
| Krytyczność | 8.4/10 |
| CVSS | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | W module obsługi NTFS (plik NtfsHandler.cpp) w programie 7-Zip w wersjach wcześniejszych niż 24.01 (dla 7zz) występuje błąd przepełnienia bufora na stercie (heap-based buffer overflow), który pozwala napastnikowi na nadpisanie dwóch bajtów pod wieloma offsetami wykraczającymi poza przydzielony rozmiar bufora: bufor+512*i-2, dla i=9, i=10, i=11 itd. |
| Numer CVE | CVE-2023-40481 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Ta podatność umożliwia zdalnym napastnikom wykonanie dowolnego kodu na dotkniętych nią instalacjach programu 7-Zip. Do wykorzystania tej luki wymagana jest interakcja z użytkownikiem, polegająca na tym, iż ofiara musi odwiedzić złośliwą stronę internetową lub otworzyć złośliwy plik. |
| Numer CVE | CVE-2023-31102 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Plik Ppmd7.c w programie 7-Zip w wersjach wcześniejszych niż 23.00 umożliwia wystąpienie błędu niedomiaru liczby całkowitej (integer underflow) oraz nieprawidłową operację odczytu przy użyciu specjalnie spreparowanego archiwum 7Z. |
| Numer CVE | CVE-2022-47112 |
| Krytyczność | 3.3/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:U/RC:C |
| Opis | Program 7-Zip nie zgłasza błędu w przypadku niektórych nieprawidłowych plików xz, co dotyczy flag strumienia oraz bitów zarezerwowanych. |
| Numer CVE | CVE-2022-47111 |
| Krytyczność | 3.3/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:U/RC:C |
| Opis | Program 7-Zip w wersji 22.01 nie zgłasza błędu w przypadku niektórych nieprawidłowych plików xz, co dotyczy flag bloków oraz bitów zarezerwowanych. Niektóre późniejsze wersje nie są dotknięte tym problemem. |
| Numer CVE | CVE-2022-29072 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:R |
| Opis | Program 7-Zip w wersjach do 21.07 włącznie w systemie Windows umożliwia podniesienie uprawnień oraz wykonanie poleceń w momencie, gdy plik z rozszerzeniem .7z zostanie przeciągnięty do obszaru Pomoc > Spis treści. Jest to spowodowane błędną konfiguracją biblioteki 7z.dll oraz przepełnieniem sterty. Polecenie jest uruchamiane w procesie podrzędnym w ramach procesu 7zFM.exe. |
| Numer CVE | CVE-2024-26203 |
| Krytyczność | 7.3/10 |
| CVSS | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Podatność na podniesienie uprawnień (Elevation of Privilege) w programie Azure Data Studio umożliwia lokalnemu napastnikowi uzyskanie wyższych uprawnień w systemie, niż te, które posiada normalnie. Luka ta zwykle wynika z niewłaściwej obsługi uprawnień do plików, błędnej konfiguracji usług lub podatności w mechanizmach aktualizacji oprogramowania. W kontekście produktów ABB 800xA, gdzie Azure Data Studio jest dołączone jako oprogramowanie firm trzecich, wykorzystanie tej luki mogłoby pozwolić użytkownikowi z ograniczonym dostępem na wykonanie działań z uprawnieniami administratora lub systemowymi, co zagraża integralności całego systemu sterowania. |
| Aktualizacja | TAK |
| Link | https://search.abb.com/library/Download.aspx?DocumentID=7PAA023732&LanguageCode=en&DocumentPartId=&Action=Launch |
Firma ABB informuje o nowych podatnościach w swoich produktach. (P26-123)
Powiązane
Krytyczna luka w Ninja Forms zagraża 50 000 stron WordPress
19 godzin temu
Podatności w oprogramowaniu Mlflow
1 dzień temu
Podatność w oprogramowaniu Bludit
1 dzień temu
