ICS-CERT informuje o nowych podatnościach w produktach firmy AVEVA

cert.pse-online.pl 2 lat temu

Produkt	AVEVA Edge: 2020 R2 SP1 i wszystkie wcześniejsze wersje
Numer CVE	CVE-2022-36970
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Możliwość tworzenia skryptów zapewniana przez AVEVA Edge jest nieograniczona; użytkownik może nadużyć tego, aby osiągnąć wykonanie dowolnego kodu.

Numer CVE	CVE-2022-28686
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	W AVEVA Edge istnieje luka, która może umożliwić złośliwemu podmiotowi mającemu dostęp do systemu plików wykonanie dowolnego kodu i spowodować eskalację poprzez nakłonienie AVEVA Edge do załadowania niebezpiecznej biblioteki DLL.

Numer CVE	CVE-2022-28687
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	W AVEVA Edge istnieje luka, która może umożliwić złośliwemu podmiotowi mającemu dostęp do systemu plików wykonanie dowolnego kodu i spowodować eskalację poprzez nakłonienie AVEVA Edge do załadowania niebezpiecznej biblioteki DLL.

Numer CVE	CVE-2022-28688
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	W AVEVA Edge istnieje luka, która może umożliwić złośliwemu podmiotowi mającemu dostęp do systemu plików wykonanie dowolnego kodu i spowodować eskalację poprzez nakłonienie AVEVA Edge do załadowania niebezpiecznej biblioteki DLL.

Numer CVE	CVE-2022-28685
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	W programie AVEVA Edge istnieje luka, która, jeżeli zostanie wykorzystana, może umożliwić użytkownikowi manipulowanie plikami projektu w celu wykonania dowolnego kodu.

Numer CVE	CVE-2022-28689
Krytyczność	6.6/10
CVSS	AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:H
Opis	Ta luka, jeżeli zostanie wykorzystana, może umożliwić złośliwemu podmiotowi wywołanie stanu odmowy usługi w programie AVEVA Edge lub wyodrębnienie dowolnych plików z hosta, na którym działa program AVEVA Edge.

Aktualizacja	TAK
Link	https://www.cisa.gov/uscert/ics/advisories/icsa-22-249-02