CVE-2022-23854

AVEVA InTouch Access Anywhere versões 2020 R2 e anteriores

O problema está relacionado a erros no processamento do caminho relativo ao diretório, o que poderia permitir que um usuário não autenticado com acesso à rede lesse arquivos no sistema fora do servidor web do gateway seguro. Isso pode ser explorado por meio de um exploit de traversal de caminho. Se um invasor obtiver acesso a informações confidenciais, como arquivos de configuração contendo dados de acesso, isso pode levar a problemas graves. A vulnerabilidade pode ser facilmente explorada usando uma ferramenta de linha de comando como o curl, e não é necessária a interação do usuário. Mais de 1.100 sistemas estão acessíveis, permitindo que invasores remotos explorem a vulnerabilidade diretamente da Internet.

Para as versões 2020 R2 e anteriores do AVEVA InTouch Access Anywhere, atualize para a versão mais recente que inclua a correção para este problema, conforme fornecida pelo fornecedor. Como solução alternativa temporária, considere restringir o acesso ao servidor web do gateway seguro para minimizar o risco de exploração.