ICS-CERT informuje o nowych podatnościach w produktach firmy AVEVA (P23-322)

utworzone przez | lis 17, 2023 | ICS

ProduktPlatforma systemowa AVEVA: 2020 R2 SP1 P01 i wcześniejsze Historia
AVEVA: 2020 R2 SP1 P01 i wcześniejsze
Serwer aplikacji AVEVA: 2020 R2 SP1 P01 i starsze
AVEVA InTouch: 2020 R2 SP1 P01 i starsze
AVEVA Enterprise Licensing w wersji 3.7.002 i wcześniejszych
AVEVA Manufacturing Execution System (wcześniej znany jako Wonderware MES): 2020 P01 i wcześniejsze
Zarządzanie przepisami AVEVA: 2020 R2, aktualizacja 1, poprawka 2 i wcześniejsze
Zarządzanie partiami AVEVA: 2020 SP1 i wcześniejsze AVEVA Edge (wcześniej znana jako Indusoft Web Studio): 2020 R2 SP1 P01 i wcześniejsze
Zadania robocze AVEVA (wcześniej znane jako Zarządzanie przepływem pracy): 2020 U2 i wcześniejsze
AVEVA Plant SCADA (wcześniej znana jako Citect): 2020 R2 Update 15 i wcześniejsze
Operator mobilny AVEVA (wcześniej znany jako rundy operatora mobilnego IntelaTrac): 2020 R1 i wcześniejsze
Pakiet sterowników komunikacyjnych AVEVA: 2020 R2 SP1 i wcześniejsze
Serwer telemetryczny AVEVA: 2020 R2 SP1 i starsze
Numer CVECVE-2023-33873
Krytyczność7,8 /10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisJeśli ta luka w zabezpieczeniach umożliwiająca eskalację uprawnień, chmura umożliwi lokalnemu użytkownikowi uwierzytelnionemu przez system operacyjny ze standardowymi uprawnieniami eskalację do uprawnień systemowych na komputerze, na którym są zainstalowane te produkty, co skutkuje całkowitym naruszeniem bezpieczeństwa komputera docelowego.
  
Numer CVECVE-2023-3498
Krytyczność5,5/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:Nie dotyczy:H
OpisJeśli ta luka w zabezpieczeniach kontroli zewnętrznej zostanie wykorzystana, może pozwolić użytkownikowi uwierzytelnionemu przez lokalny system operacyjny ze standardowymi uprawnieniami na usunięcie plików z uprawnieniami systemowymi na komputerze, na którym są zainstalowane te produkty, co spowoduje odmowę usługi.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-318-01