Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en AVEVA Edge

Múltiples vulnerabilidades en AVEVA Edge

Fecha de publicación: 
22/08/2022
Identificador: 
INCIBE-2022-0890
Importancia: 
4 - Alta
Recursos afectados: 

AVEVA Edge (conocido como InduSoft Web Studio).

Descripción: 

AVEVA ha publicado 6 vulnerabilidades, 5 de severidad alta y una media, que podrían permitir a un atacante la ejecución arbitraria de código, la escalada de privilegios o la denegación del servicio.

Solución: 
  • Para los clientes de AVEVA Edge 2020 R2 SP1, actualizar a HF 2020.2.00.40.
  • Para los clientes de AVEVA Edge 2020 R2 y anteriores, actualizar a AVEVA Edge 2020 R2 SP1 y aplicar el parche HF 2020.2.00.40.

Además de aplicar las actualizaciones, se deben tomar las siguientes precauciones:

  • Aplicar listas de control de acceso a todas las carpetas donde los usuarios guarden y carguen los archivos del proyecto;
  • mantener una cadena de custodia de confianza en los archivos del proyecto durante su creación, modificación, distribución y uso;
  • concienciar a los usuarios para que siempre verifiquen que la fuente de un proyecto es de confianza antes de abrirlo o ejecutarlo.
Detalle: 
  • Un atacante podría ejecutar código arbitrario mediante la manipulación de archivos de proyecto. Se ha asignado el identificador CVE-2022-28685 para esta vulnerabilidad.
  • Un atacante con acceso al sistema de archivos podría ejecutar código malicioso o escalar privilegios mediante la carga de una DLL insegura. Se han asignado los identificadores CVE-2022-28686, CVE-2022-28687 y CVE-2022-28688 para estas vulnerabilidades.
  • Un atacante podría ejecutar código arbitrario mediante la función de scripting personalizado. Se ha asignado el identificador CVE-2022-36970 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media, se ha reservado el identificador CVE-2022-36969.

Encuesta valoración