Múltiples vulnerabilidades en AVEVA Edge
Fecha de publicación 22/08/2022
Importancia
4 - Alta
Recursos Afectados
AVEVA Edge (conocido como InduSoft Web Studio).
Descripción
AVEVA ha publicado 6 vulnerabilidades, 5 de severidad alta y una media, que podrían permitir a un atacante la ejecución arbitraria de código, la escalada de privilegios o la denegación del servicio.
Solución
- Para los clientes de AVEVA Edge 2020 R2 SP1, actualizar a HF 2020.2.00.40.
- Para los clientes de AVEVA Edge 2020 R2 y anteriores, actualizar a AVEVA Edge 2020 R2 SP1 y aplicar el parche HF 2020.2.00.40.
Además de aplicar las actualizaciones, se deben tomar las siguientes precauciones:
- Aplicar listas de control de acceso a todas las carpetas donde los usuarios guarden y carguen los archivos del proyecto;
- mantener una cadena de custodia de confianza en los archivos del proyecto durante su creación, modificación, distribución y uso;
- concienciar a los usuarios para que siempre verifiquen que la fuente de un proyecto es de confianza antes de abrirlo o ejecutarlo.
Detalle
- Un atacante podría ejecutar código arbitrario mediante la manipulación de archivos de proyecto. Se ha asignado el identificador CVE-2022-28685 para esta vulnerabilidad.
- Un atacante con acceso al sistema de archivos podría ejecutar código malicioso o escalar privilegios mediante la carga de una DLL insegura. Se han asignado los identificadores CVE-2022-28686, CVE-2022-28687 y CVE-2022-28688 para estas vulnerabilidades.
- Un atacante podría ejecutar código arbitrario mediante la función de scripting personalizado. Se ha asignado el identificador CVE-2022-36970 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media, se ha reservado el identificador CVE-2022-36969.
Listado de referencias