AVEVA informuje o nowych podatnościach w swoich produktach (P25-181)

cert.pse-online.pl 2 tygodni temu
ProduktPI Data Archive <= 2018 SP3 (Patch 4 2023, 2023 Patch 1)
PI Server <= 2018 SP3 (2023,2023 Patch 1)
Numer CVECVE-2025-44019
Krytyczność7.1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
OpisWykorzystanie luki może umożliwić uwierzytelnionemu przestępcy wyłączenie niektórych niezbędnych podsystemów PI Data Archive, co spowoduje odmowę usługi. W zależności od czasu awarii dane obecne w migawkach/pamięci podręcznej zapisu mogą zostać utracone.
Numer CVECVE-2025-36539
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisWykorzystanie luki może umożliwić uwierzytelnionemu przestępcy wyłączenie niektórych niezbędnych podsystemów PI Data Archive, co spowoduje odmowę usługi.
AktualizacjaTAK
Linkhttps://www.aveva.com/content/dam/aveva/documents/support/cybersecurity-updates/SecurityBulletin_AVEVA-2025-001.pdf
ProduktPI Connector for CygNet, wersja 1.6.14 i wszystkie wcześniejsze
Numer CVECVE-2025-4417
Krytyczność5,5/10
CVSSAV:L/AC:L/PR:H/UI:R/S:C/C:N/I:H/A:N
OpisWykorzystanie tej luki może umożliwić administratorowi z lokalnym dostępem do portalu administracyjnego łącznika przechowywanie złośliwego kodu JavaScript, który zostanie wykonany przez innych użytkowników odwiedzających zagrożone strony.
Numer CVECVE-2025-4418
Krytyczność4,4/10
CVSSAV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
OpisWykorzystanie tej luki może umożliwić przestępcy z podwyższonymi uprawnieniami modyfikację lokalnych plików danych PI Connector for CygNet (pamięć podręczna i bufory) w sposób powodujący, iż usługa łącznika przestanie odpowiadać.
AktualizacjaTAK
Linkhttps://www.aveva.com/content/dam/aveva/documents/support/cyber-security-updates/SecurityBulletin_AVEVA-2025-002.pdf
ProduktPI Web API, wersja 2023 SP1 i wszystkie wcześniejsze
Numer CVECVE-2025-36539
Krytyczność7.1/10
CVSSAV:N/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:N
OpisWykorzystanie tej luki może umożliwić uwierzytelnionemu przestępcy (z uprawnieniami do tworzenia/aktualizowania adnotacji lub przesyłania plików multimedialnych) utrwalenie dowolnego kodu JavaScript, który zostanie wykonany przez użytkowników, którzy zostali poddani inżynierii społecznej w celu wyłączenia zabezpieczeń Content Security Policy podczas renderowania załączników adnotacji z poziomu przeglądarki internetowej.
AktualizacjaTAK
Linkhttps://www.aveva.com/content/dam/aveva/documents/support/cyber-security-updates/SecurityBulletin_AVEVA-2025-002.pdf
Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. AVEVA informuje o nowych podatnościach w swoich produktach (P25-181)

Powiązane

Cloudflare powstrzymało nowy, rekordowo silny cyberatak o intensywności 7,3 Tb/s

Cloudflare powstrzymało nowy, rekordowo silny cyberatak o in...

1 dzień temu
ClamAV łata krytyczną podatność

ClamAV łata krytyczną podatność

3 dni temu
Podatności TCC Bypass w dwóch aplikacjach na systemy macOS

Podatności TCC Bypass w dwóch aplikacjach na systemy macOS

6 dni temu
Ataki na popularne routery TP-Link

Ataki na popularne routery TP-Link

1 tydzień temu
Krajobraz zagrożeń 09/06-16/06/25

Krajobraz zagrożeń 09/06-16/06/25

1 tydzień temu
Badacze zaprezentowali zdalne wykonanie kodu w klasycznej grze Heroes of Might and Magic V

Badacze zaprezentowali zdalne wykonanie kodu w klasycznej gr...

2 tygodni temu
Krajobraz zagrożeń 02/06-08/06/25

Krajobraz zagrożeń 02/06-08/06/25

2 tygodni temu
RHEL 10 – kolejna wersja komercyjnego Linuxa

RHEL 10 – kolejna wersja komercyjnego Linuxa

2 tygodni temu
Krytyczna podatność w Cisco ISE – “losowe” poświadczenia nie do końca losowe

Krytyczna podatność w Cisco ISE – “losowe” poświadczenia nie...

2 tygodni temu