Vulnerabilidad de autorización indebida en productos de AVEVA
INCIBE-2023-0095
- AVEVA Plant SCADA 2023;
- AVEVA Plant SCADA 2020R2 Update 10 y todas las versiones anteriores;
- AVEVA Telemetry Server 2020 R2 SP1 y todas las versiones anteriores.
UK's National Cyber Security Centre (NCSC) ha reportado una vulnerabilidad de severidad crítica, que podría permitir a un atacante leer datos, causar una denegación de servicio y manipular los estados de alarma.
AVEVA ha publicado versiones correctoras para las versiones vulnerables de los dispositivos afectados. Para más información, acudir al apartado "Security Update Downloads" del siguiente aviso de seguridad.
Las versiones mencionadas de AVEVA Plant SCADA y AVEVA Telemetry Server contienen una vulnerabilidad de autorización incorrecta, lo que podría permitir a un atacante no autenticado leer datos de forma remota, causar una condición de denegación de servicio o manipular los estados de alarma. Se ha asignado el identificador CVE-2023-1256 para esta vulnerabilidad.
Por otra parte, AVEVA ha publicado un aviso con información referente a tres vulnerabilidades en productos de terceros que afectan a su vez a productos de AVEVA. Para más información, consultar el boletín asociado.