PT-2022-5603 · Aveva · Aveva Edge
Publicado
2022-11-22
·
Atualizado
2024-10-07
·
CVE-2021-42796
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
AVEVA Edge (anteriormente InduSoft Web Studio), versões R2020 e anteriores
Descrição
Foi descoberta uma vulnerabilidade na função
ExecuteCommand() que permite a execução de comandos arbitrários sem autenticação. Isso está relacionado a erros no gerenciamento do controle de acesso no arquivo executável stadosvr.exe do sistema SCADA AVEVA Edge. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário.Recomendações
Para as versões R2020 e anteriores, considere desativar a função
ExecuteCommand() como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo executável stadosvr.exe para minimizar o risco de exploração.Correção
Improper Access Control
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Aveva Edge