| Produkt | AVEVA Process Optimization: <=2024.1 |
| Numer CVE | CVE-2025-61937 |
| Krytyczność | 10/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Opis | Wykorzystanie tej luki może umożliwić niezautoryzowanemu użytkownikowi zdalne wykonanie kodu z uprawnieniami systemowymi usługi „taoimr”, co potencjalnie może skutkować całkowitym przejęciem kontroli nad serwerem aplikacji modelowych. |
| | |
| Numer CVE | CVE-2025-64691 |
| Krytyczność | 8.8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| Opis | Wykorzystanie tej luki może umożliwić uwierzytelnionemu użytkownikowi (standardowemu użytkownikowi systemu operacyjnego) manipulację skryptami makr TCL i zwiększenie uprawnień systemu operacyjnego, co potencjalnie może skutkować całkowitym przejęciem kontroli nad serwerem aplikacji modelowych. |
| | |
| Numer CVE | CVE-2025-61943 |
| Krytyczność | 8.4/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N |
| Opis | Wykorzystanie tej luki może umożliwić uwierzytelnionemu użytkownikowi (użytkownikowi Process Optimization Standard) manipulowanie zapytaniami w Captive Historian i wykonanie kodu z uprawnieniami administratora programu SQL Server, co może potencjalnie doprowadzić do całkowitego przejęcia kontroli nad programem SQL Server. |
| | |
| Numer CVE | CVE-2025-61943 |
| Krytyczność | 8.8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| Opis | Wykorzystanie tej luki może umożliwić uwierzytelnionemu hakerowi (standardowemu użytkownikowi systemu operacyjnego) oszukanie usług optymalizacji procesów, zmuszając je do załadowania dowolnego kodu i zwiększenia uprawnień systemu operacyjnego, co potencjalnie może doprowadzić do całkowitego przejęcia kontroli nad serwerem aplikacji modelowych. |
| | |
| Numer CVE | CVE-2025-64729 |
| Krytyczność | 8.1/10 |
| CVSS | AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L |
| Opis | Wykorzystanie tej luki może umożliwić uwierzytelnionemu przestępcy (standardowemu użytkownikowi systemu operacyjnego) manipulację plikami projektu optymalizacji procesów, osadzenie kodu i rozszerzenie swoich uprawnień, tak aby uzyskać tożsamość użytkownika ofiary, który następnie wejdzie w interakcję z plikami projektu. |
| | |
| Numer CVE | CVE-2025-65117 |
| Krytyczność | 7.4/10 |
| CVSS | AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
| Opis | Wykorzystanie tej luki może umożliwić uwierzytelnionemu przestępcy (użytkownikowi narzędzia Process Optimization Designer) osadzanie obiektów OLE w elementach graficznych i rozszerzenie swoich uprawnień, tak aby uzyskać tożsamość użytkownika ofiary, który następnie wchodzi w interakcję z elementami graficznymi. |
| | |
| Numer CVE | CVE-2025-64769 |
| Krytyczność | 7.1/10 |
| CVSS | AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L |
| Opis | Pakiet aplikacji Process Optimization wykorzystuje kanały/protokoły połączeń, które domyślnie nie są szyfrowane i mogą paść ofiarą przejęcia kontroli lub wycieku danych w pewnych scenariuszach ataku typu man-in-the-Middle lub inspekcji pasywnej. |
| | |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-01 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny