20Urdjk

**Name of the Vulnerable Software and Affected Versions** Inductive Automation Ignition (affected versions not specified) **Description** This issue allows remote attackers to execute arbitrary code on affected installations of Inductive Automation Ignition. User interaction is required to exploit this issue, where the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of the `id` parameter provided to the Inductive Automation Ignition web interface, resulting from the lack of proper validation of user-supplied data, which can lead to the injection of an arbitrary script. An attacker can leverage this issue to execute arbitrary code in the context of SYSTEM. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Inductive Automation Ignition (affected versions not specified) **Description** This issue allows remote attackers to execute arbitrary code on affected installations of Inductive Automation Ignition. Although authentication is required to exploit this issue, the existing authentication mechanism can be bypassed. The specific flaw exists within the configuration of the web server, resulting from the lack of appropriate Content Security Policy headers. An attacker can leverage this in conjunction with other vulnerabilities to execute code in the context of SYSTEM. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Inductive Automation Ignition (affected versions not specified) **Description** The issue is related to the use of dangerous methods or functions in the Inductive Automation Ignition software, which can be exploited by a remote attacker to execute arbitrary code on the target system or cause a denial of service. The specific flaw exists within the Ignition Gateway server and results from the exposure of a dangerous function. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. Authentication is required to exploit this vulnerability. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Inductive Automation Ignition OPC UA Quick Client (affected versions not specified) **Description** This issue allows remote attackers to bypass authentication on affected installations of Inductive Automation Ignition. The specific flaw exists within the server configuration, resulting from the lack of authentication prior to allowing access to password change functionality. An attacker can leverage this vulnerability to bypass authentication on the system. User interaction is required to exploit this vulnerability, such as visiting a malicious page or opening a malicious file. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Unified Automation OPC UA C++ Demo Server versão 1.7.6-537 **Descrição** Esta vulnerabilidade permite que invasores remotos criem uma condição de negação de serviço nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no método `OpcUa SecureListener ProcessSessionCallRequest`. Uma mensagem OPC UA especialmente criada pode forçar o servidor a atualizar incorretamente uma contagem de referência, permitindo que um invasor crie uma condição de negação de serviço no sistema. **Recomendações** Para o Unified Automation OPC UA C++ Demo Server versão 1.7.6-537, como solução temporária, considere desativar o método `OpcUa SecureListener ProcessSessionCallRequest` até que um patch esteja disponível. Restrinja o acesso ao servidor para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Inductive Automation Ignition versão 8.1.15 (b2022030114) **Descrição** Esta vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas. É necessária a interação do usuário, na qual o alvo deve visitar uma página maliciosa ou abrir um arquivo malicioso. A falha existe no processamento de arquivos ZIP, onde dados manipulados podem fazer com que o aplicativo execute scripts Python arbitrários. A interface do usuário não fornece indicação suficiente do risco, e um invasor pode aproveitar isso para executar código no contexto do SYSTEM. **Recomendações** Para o Inductive Automation Ignition versão 8.1.15 (b2022030114), considere desativar o processamento de arquivos ZIP até que um patch esteja disponível para impedir a execução de scripts Python arbitrários. Restrinja o acesso à interface do usuário para minimizar o risco de exploração. Evite usar arquivos ZIP maliciosos no aplicativo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.