Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de AVEVA

Fecha de publicación 11/06/2025
Identificador
INCIBE-2025-0310
Importancia
4 - Alta
Recursos Afectados
  • PI Data Archive 2018 SP3 Patch 4 y anteriores;
  • PI Data Archive 2023 y 2023 Patch 1;
  • PI Server 2018 SP3 Patch 6 y anteriores;
  • PI Server 2023 y 2023 Patch 1;
  • PI Web API, versión 2023 SP1 y anteriores;
  • PI Connector para CygNet, versión 1.6.14 y anteriores.
Descripción

Aveva ha publicado 5 vulnerabilidades: 2 de severidad alta y 3 de severidad media que podrían provocar una denegación de servicio (DoS) en caso de ser explotadas.

Solución

Actualizar a las siguientes versiones correspondientes:

  • PI Server 2024.
  • PI Server 2018 SP3 Patch 7.
  • PI Web API 2023 SP1 Patch 1 o posterior.
  • PI Connector for CygNet v1.7.0 o posterior.
Detalle

Las vulnerabilidades de severidad alta podría permitir a un atacante autenticado cerrar ciertos subsistemas necesarios de PI Data Archive, provocando una denegación de servicio. Se han asignado los identificadores CVE-2025-44019 y CVE-2025-36539 para estas vulnerabilidades.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2025-2745, CVE-2025-4417 y CVE-2025-4417.

Listado de referencias
SECURITY BULLETIN AVEVA-2025-001
SECURITY BULLETIN AVEVA-2025-002
SECURITY BULLETIN AVEVA-2025-003
CISA (ICSA-25-162-07) - AVEVA PI Data Archive
CISA (ICSA-25-162-08) - AVEVA PI Web API
CISA (ICSA-25-162-09) - AVEVA PI Connector for CygNet
Etiquetas