ICS-CERT informuje o nowych podatnościach w produktach firmy AVEVA (P24-413)

cert.pse-online.pl 2 dni temu

Produkt	Serwer aplikacji: wersje 2023 R2 SP1 P02 i starsze
Numer CVE	CVE-2025-8386
Krytyczność	6.9/10
CVSS	AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:L
Opis	Wykorzystanie tej luki może umożliwić uwierzytelnionemu hakerowi (z uprawnieniami „aaConfigTools”) manipulację plikami pomocy obiektów aplikacji i utrwalenie ataku typu cross-site scripting (XSS), który po wykonaniu przez użytkownika ofiary może skutkować eskalacją uprawnień w poziomie lub pionie. Luka może zostać wykorzystana tylko podczas operacji konfiguracyjnych w komponencie IDE serwera aplikacji. Komponenty i operacje środowiska wykonawczego nie są zagrożone.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-02

Produkt	Edge: wersje 2023 R2 i starsze
Numer CVE	CVE-2025-9317
Krytyczność	8.4/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
Opis	Wykorzystanie tej luki może umożliwić osobie z dostępem do odczytu plików projektu Edge lub plików pamięci podręcznej Edge Offline przeprowadzenie inżynierii wstecznej haseł natywnych dla aplikacji lub Active Directory użytkowników Edge poprzez obliczeniowe siłowe odszyfrowanie słabych skrótów.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-01