Múltiples vulnerabilidades en AVEVA Edge

Fecha de publicación: 22/08/2022

Importancia:
Alta

Recursos afectados:

AVEVA Edge (conocido como InduSoft Web Studio).

Descripción:

AVEVA ha publicado 6 vulnerabilidades, 5 de severidad alta y una media, que podrían permitir a un atacante la ejecución arbitraria de código, la escalada de privilegios o la denegación del servicio.

Solución:

• Para los clientes de AVEVA Edge 2020 R2 SP1, actualizar a HF 2020.2.00.40.
• Para los clientes de AVEVA Edge 2020 R2 y anteriores, actualizar a AVEVA Edge 2020 R2 SP1 y aplicar el parche HF 2020.2.00.40.

Además de aplicar las actualizaciones, se deben tomar las siguientes precauciones:

• Aplicar listas de control de acceso a todas las carpetas donde los usuarios guarden y carguen los archivos del proyecto;
• mantener una cadena de custodia de confianza en los archivos del proyecto durante su creación, modificación, distribución y uso;
• concienciar a los usuarios para que siempre verifiquen que la fuente de un proyecto es de confianza antes de abrirlo o ejecutarlo.

Detalle:

• Un atacante podría ejecutar código arbitrario mediante la manipulación de archivos de proyecto. Se ha asignado el identificador CVE-2022-28685 para esta vulnerabilidad.
• Un atacante con acceso al sistema de archivos podría ejecutar código malicioso o escalar privilegios mediante la carga de una DLL insegura. Se han asignado los identificadores CVE-2022-28686, CVE-2022-28687 y CVE-2022-28688 para estas vulnerabilidades.
• Un atacante podría ejecutar código arbitrario mediante la función de scripting personalizado. Se ha asignado el identificador CVE-2022-36970 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media, se ha reservado el identificador CVE-2022-36969.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad