Aveva产品安全警报：三项漏洞的紧急修复

关键要点

• Aveva和网络安全基础设施安全局已发布关于其HMI和SCADA系统中的三项漏洞的安全警报。
• 高严重性的路径遍历漏洞CVE-2022-23854可能导致敏感信息泄露。
• 另外两个漏洞包括一个利用OpenSSL的严重漏洞和一个中等严重性的jQuery漏洞。

英国工业软件制造商Aveva及其合作的已围绕与Aveva的InTouch Access Anywhere HMI和Plant SCADA AccessAnywhere系统相关的三项漏洞发布了安全建议。所有这些问题都已经修复，具体内容由报道。

由于在互联网上连接的1,100个InTouch Access AnywhereGateway实例受到了高严重性的路径遍历缺陷的影响，该漏洞标识为CVE-2022-23854。据Crisec顾问JensRegel介绍，此漏洞可能被利用，以便访问安全网关Web服务器外的文件。Regel指出：“如果攻击者获取了敏感信息，例如存储访问数据的配置文件，这将造成真正的问题。”他还提到，利用该缺陷并不需要用户的任何交互。

与此同时，InTouch Access Anywhere和Plant SCADA AccessAnywhere产品中还存在一个关键的OpenSSL漏洞，可能导致任意代码执行和拒绝服务攻击。此外，还有一个与一个易受攻击的jQuery版本相关的中等严重性缺陷。

漏洞类型 | 严重性 | 漏洞编号
—|—|—
路径遍历 | 高 | CVE-2022-23854
OpenSSL | 严重 | N/A
jQuery | 中等 | N/A

注意： 尽管这些漏洞已经被修复，但用户仍需保持警惕，确保其系统的安全性。有关此问题的更多详细信息以及如何保护系统，请访问相关链接。