CVE-2019-19002 – ABB eSOMS X-XSS-Protection not enabled
https://notcve.org/view.php?id=CVE-2019-19002
For ABB eSOMS versions 4.0 to 6.0.2, the X-XSS-Protection HTTP response header is not set in responses from the web server. For older web browser not supporting Content Security Policy, this might increase the risk of Cross Site Scripting. Para ABB eSOMS versiones 4.0 hasta 6.0.2, el encabezado de respuesta HTTP X-XSS-Protection no está configurado en las respuestas del servidor web. Para navegadores web más antiguos no compatibles con la Política de Seguridad de Contenido, esto podría aumentar el riesgo de ataques de tipo Cross Site Scripting. • https://search.abb.com/library/Download.aspx?DocumentID=9AKK107492A9964&LanguageCode=en&DocumentPartId=&Action=Launch • CWE-16: Configuration CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-19001 – eSOMS X-FrameOption
https://notcve.org/view.php?id=CVE-2019-19001
For ABB eSOMS versions 4.0 to 6.0.2, the X-Frame-Options header is not configured in HTTP response. This can potentially allow 'ClickJacking' attacks where an attacker can frame parts of the application on a malicious web site, revealing sensitive user information such as authentication credentials. Para ABB eSOMS versiones 4.0 hasta 6.0.2, el encabezado X-Frame-Options no está configurado en la respuesta HTTP. Esto puede permitir potencialmente ataques de tipo "ClickJacking" donde un atacante puede enmarcar partes de la aplicación en un sitio web malicioso, revelando información confidencial del usuario, tales como credenciales de autenticación. • https://search.abb.com/library/Download.aspx?DocumentID=9AKK107492A9964&LanguageCode=en&DocumentPartId=&Action=Launch • CWE-16: Configuration CWE-1021: Improper Restriction of Rendered UI Layers or Frames •
CVE-2019-19000 – eSOMS Cachecontrol (Pragma) HTTP Header
https://notcve.org/view.php?id=CVE-2019-19000
For ABB eSOMS 4.0 to 6.0.3, the Cache-Control and Pragma HTTP header(s) have not been properly configured within the application response. This can potentially allow browsers and proxies to cache sensitive information. Para ABB eSOMS versiones 4.0 hasta 6.0.3, los encabezados Cache-Control y Pragma HTTP no han sido configurados apropiadamente dentro de la respuesta de la aplicación. Esto puede permitir potencialmente a navegadores y servidores proxy almacenar en caché información confidencial. • https://search.abb.com/library/Download.aspx?DocumentID=9AKK107492A9964&LanguageCode=en&DocumentPartId=&Action=Launch • CWE-16: Configuration CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-202: Exposure of Sensitive Information Through Data Queries •
CVE-2019-19097 – ABB eSOMS: SSL medium strength Cipher Suites
https://notcve.org/view.php?id=CVE-2019-19097
ABB eSOMS versions 4.0 to 6.0.3 accept connections using medium strength ciphers. If a connection is enabled using such a cipher, an attacker might be able to eavesdrop and/or intercept the connection. ABB eSOMS versiones 4.0 hasta 6.0.3, aceptan conexiones usando cifrados de resistencia media. Si una conexión es habilitada utilizando un cifrado de este tipo, un atacante podría ser capaz de espiar y/o interceptar la conexión. • https://search.abb.com/library/Download.aspx?DocumentID=9AKK107492A9964&LanguageCode=en&DocumentPartId=&Action=Launch • CWE-16: Configuration CWE-326: Inadequate Encryption Strength •
CVE-2019-19096 – ABB eSOMS: REDIS clear text credentials
https://notcve.org/view.php?id=CVE-2019-19096
The Redis data structure component used in ABB eSOMS versions 6.0 to 6.0.2 stores credentials in clear text. If an attacker has file system access, this can potentially compromise the credentials' confidentiality. El componente de estructura de datos Redis usado en ABB eSOMS versiones 6.0 hasta 6.0.2, almacena credenciales en texto sin cifrar. Si un atacante posee acceso al sistema de archivos, esto puede comprometer la confidencialidad de las credenciales. • https://search.abb.com/library/Download.aspx?DocumentID=9AKK107492A9964&LanguageCode=en&DocumentPartId=&Action=Launch • CWE-257: Storing Passwords in a Recoverable Format CWE-522: Insufficiently Protected Credentials •