Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de autorización indebida en productos de AVEVA

Fecha de publicación 15/03/2023
Identificador

INCIBE-2023-0095

Importancia
5 - Crítica
Recursos Afectados
  • AVEVA Plant SCADA 2023;
  • AVEVA Plant SCADA 2020R2 Update 10 y todas las versiones anteriores;
  • AVEVA Telemetry Server 2020 R2 SP1 y todas las versiones anteriores.
Descripción

UK's National Cyber Security Centre (NCSC) ha reportado una vulnerabilidad de severidad crítica, que podría permitir a un atacante leer datos, causar una denegación de servicio y manipular los estados de alarma.

Solución

AVEVA ha publicado versiones correctoras para las versiones vulnerables de los dispositivos afectados. Para más información, acudir al apartado "Security Update Downloads" del siguiente aviso de seguridad.

Detalle

Las versiones mencionadas de AVEVA Plant SCADA y AVEVA Telemetry Server contienen una vulnerabilidad de autorización incorrecta, lo que podría permitir a un atacante no autenticado leer datos de forma remota, causar una condición de denegación de servicio o manipular los estados de alarma. Se ha asignado el identificador CVE-2023-1256 para esta vulnerabilidad.

Por otra parte, AVEVA ha publicado un aviso con información referente a tres vulnerabilidades en productos de terceros que afectan a su vez a productos de AVEVA. Para más información, consultar el boletín asociado.

Encuesta valoración