ProduktAVEVA Edge 2020 R2 SP1
AVEVA Edge 2020 R2 SP1 z HF 2020.2.00.40
AVEVA Edge 2020 R2 i wszystkie wcześniejsze wersje (wcześniej znane jako InduSoft Web Studio)
Numer CVECVE-2016-2542
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisW wersji AVEVA Edge R2020 i wcześniejszych może pozwolić złośliwemu podmiotowi z dostępem do systemu plików na wykonanie dowolnego kodu i eskalację uprawnień poprzez oszukanie pakietu AVEVA Edge InstallShield w celu załadowania niebezpiecznej biblioteki DLL. Atak ten jest możliwy tylko podczas instalacji lub podczas wykonywania operacji instalacji lub naprawy.
  
Numer CVECVE-2021-42794
Krytyczność5,3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
OpisWersje AVEVA Edge R2020 i wcześniejsze mogą umożliwiać skanowanie sieci wewnętrznej i ujawniać poufne informacje o urządzeniu.
  
Numer CVECVE-2021-42796
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisAVEVA Edge w wersjach R2020 i wcześniejszych może umożliwiać wykonywanie nieuwierzytelnionych dowolnych poleceń z kontekstem zabezpieczeń procesu StADOSvr.exe. W większości przypadków będzie to konto użytkownika z uprawnieniami standardowymi, w ramach którego uruchomiono środowisko wykonawcze AVEVA Edge. Możliwe jest skonfigurowanie i przypisanie konta usługi o wysokim poziomie uprawnień do uruchamiania środowiska wykonawczego AVEVA Edge.
  
Numer CVECVE-2021-42797
Krytyczność8,6/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
OpisAVEVA Edge w wersjach R2020 i wcześniejszych może pozwolić nieuwierzytelnionemu aktorowi na oszukanie środowiska wykonawczego AVEVA Edge w celu ujawnienia tokena dostępu Windows konta użytkownika skonfigurowanego do uzyskiwania dostępu do zewnętrznych zasobów bazy danych.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/uscert/ics/advisories/icsa-22-326-01