PT-2022-4346 · Aveva · Aveva Edge
Daan Keuper
+1
·
Publicado
2022-08-19
·
Atualizado
2025-02-18
·
CVE-2022-28688
CVSS v3.1
8.4
Alta
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
AVEVA Edge versões 2020 SP2 Patch 0 (4201.2111.1802.0000)
Descrição
O problema está relacionado a um elemento de caminho de pesquisa não controlado no sistema SCADA AVEVA Edge, que pode ser explorado para executar código arbitrário ou elevar privilégios. Invasores remotos podem explorar essa vulnerabilidade carregando uma biblioteca de um local não seguro, especificamente durante o manuseio de arquivos APP. É necessária a interação do usuário, em que o alvo deve visitar uma página maliciosa ou abrir um arquivo malicioso, permitindo que um invasor execute código no contexto do processo atual.
Recomendações
Para o AVEVA Edge versão 2020 SP2 Patch 0 (4201.2111.1802.0000), considere restringir o manuseio de arquivos APP até que um patch esteja disponível. Como solução alternativa temporária, evite abrir arquivos maliciosos ou visitar páginas não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aveva Edge