Уязвимости затрагивают версии InduSoft Web Studio до 8.1 SP3 и InTouch Edge HMI до Version 2017 Update.
Британская компания AVEVA Softwareисправилав своих продуктах InduSoft Web Studio and InTouch Edge HMI (более старое название InTouch Machine Edition) две опасные уязвимости. С их помощью злоумышленник может удаленно выполнить произвольный процесс с помощью специально созданного конфигурационного файла подключения к базе данных.
CVE-2019-6543: Злоумышленник может выполнить код с привилегиями выполнения программы и в результате скомпрометировать устройство. По системе оценивания опасности CVSS v3 уязвимость получила оценку 9,8 балла из максимальных 10.
CVE-2019-6545: Неавторизованный пользователь может удаленно выполнить произвольный процесс на сервере, используя особый конфигурационный файл подключения к базе данных. По системе оценивания опасности CVSS v3 уязвимость получила оценку 9,8 балла из максимальных 10.
Проблемы затрагивают версии InduSoft Web Studio до 8.1 SP3 и InTouch Edge HMI до Version 2017 Update и были исправлены в последних релизах продуктов. Пользователям настоятельно рекомендуется как можно скорее установить обновления.
Источник:https://www.securitylab.ru/news/497851.php
