Múltiples vulnerabilidades en Aveva
Fecha de publicación 11/11/2025
Identificador
INCIBE-2025-0623
Importancia
4 - Alta
Recursos Afectados
- AVEVA Edge (antes InduSoft Web Studio) 2023 R2 y todas las versiones anteriores.
- Application Server 2023 R2 SP1 P02 y todas las versiones anteriores.
Descripción
AVEVA ha publicado información sobre 2 vulnerabilidades de severidad alta que podrían permitir a un atacante autenticado manipular los archivos de ayuda de los App Objects, posibilitando una escalada de privilegios o la ingeniería inversa de las contraseñas nativas de la aplicación y de las credenciales de Active Directory utilizadas por los usuarios de Edge.
Solución
Actualizar los productos afectados a las versiones:
- AVEVA Edge 2023 R2 P01 y versiones posteriores.
- AVEVA System Platform 2023 R2 SP1 P03 o superior.
Detalle
- CVE-2025-9317: vulnerabilidad de uso de un algoritmo criptográfico defectuoso. Un atacante con acceso de lectura a los archivos de Edge Project o a los archivos de caché sin conexión de Edge, podría realizar ingeniería inversa de las contraseñas nativas de la aplicación o de Active Directory de los usuarios de Edge mediante un ataque de fuerza bruta computacional de hashes débiles.
- CVE-2025-8386: vulnerabilidad de neutralización inadecuada de etiquetas HTML. Esta vulnerabilidad podría permitir a un atacante autenticado (con privilegios de 'aaConfigTools') manipular los archivos de ayuda de App Objects y persistir una inyección de Cross-Site Scripting que, cuando la ejecuta un usuario víctima, puede dar lugar a una escalada horizontal o vertical de privilegios. La vulnerabilidad solo puede explotarse durante las operaciones de configuración dentro del componente IDE del servidor de aplicaciones. Los componentes y operaciones en tiempo de ejecución no se ven afectados.
CVE
Explotación
No
Explotación
No
Listado de referencias
