PT-2022-2513 · Microsoft+1 · Windows+2
Giovanni Delvecchio
·
Publicado
2022-05-09
·
Atualizado
2022-06-07
·
CVE-2022-1467
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:M/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
AVEVA InTouch Access Anywhere (versões afetadas não especificadas)
Plant SCADA Access Anywhere (versões afetadas não especificadas)
Descrição
O problema está relacionado à divulgação de informações em uma área de dados de erro, que pode ser explorada por um invasor remoto para executar comandos arbitrários do sistema operacional. Quando a funcionalidade da barra de idiomas do sistema operacional Windows está ativada, ela pode ser manipulada para iniciar um prompt de comando do sistema operacional, resultando em uma fuga de contexto do aplicativo para o sistema operacional. Isso pode ocorrer quando a interface da barra de idiomas está visível no navegador junto com os aplicativos AVEVA InTouch Access Anywhere e Plant SCADA Access Anywhere.
Recomendações
Como solução alternativa temporária, considere desativar a funcionalidade da barra de idiomas do sistema operacional Windows até que uma correção esteja disponível.
Restrinja o acesso ao prompt de comando do sistema operacional para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aveva Intouch Access Anywhere
Plant Scada Access Anywhere
Windows