Múltiples vulnerabilidades en productos de Aveva
Fecha de publicación 11/06/2024
Identificador
INCIBE-2024-0305
Importancia
4 - Alta
Recursos Afectados
- PI Web API versiones 2023 y anteriores.
- PI Asset Framework (AF) Client versiones:
- 2023.
- 2018 SP3 P04 y anteriores.
Descripción
Aveva ha publicado 2 avisos de seguridad en colaboración con CISA en donde corrige varias vulnerabilidades altas que afectan a sus productos.
Solución
- PI Web API versiones 2023 SP1 o posterior.
- PI Asset Framework (AF) Client versiones:
- 2023 Patch 1 o posterior.
- 2018 SP3 Patch 5.
Detalle
Las vulnerabilidades CVE-2024-3467 (ejecución de código local) y CVE-2024-3468 (ejecución de código remoto), en ambas si el usuario es víctima de ingeniería social, podría importar un XML suministrado por un atacante que le permitiría la ejecución de código malicioso, con los privilegios del usuario que introdujo el archivo.
Listado de referencias