AVEVA Edge 代码问题漏洞

CNNVD-ID编号	CNNVD-202209-398	CVE编号	CVE-2022-28688
发布时间	2022-09-06	更新时间	2022-09-07
漏洞类型	代码问题	漏洞来源	Chris Anastasio from Incite Team; Piotr Bazydło, Pedro Ribeiro, and Radek Domanski from Flashback Team; Daan Keuper and Thijs Alkemade from Computest; and Aaron Ferber reported these vulnerabilities to Trend Micro Zero Day Initiative.
危险等级	高危	威胁类型	N/A
厂商	N/A

漏洞介绍

AVEVA Edge是英国AVEVA公司的一款高度可扩展、灵活的 HMI/SCADA 软件。 AVEVA Edge 2020 R2 SP1及之前版本存在代码问题漏洞，该漏洞源于不受控制的搜索路径元素，该漏洞可能允许具有文件系统访问权限的恶意行为者实现任意代码执行，并通过诱使AVEVA Edge加载不安全的文件来导致升级动态链接库。

漏洞补丁

目前厂商已发布升级了AVEVA Edge 代码问题漏洞的补丁，AVEVA Edge 代码问题漏洞的补丁获取链接： https://www.aveva.com/content/dam/aveva/documents/support/cyber-security-updates/SecurityBulletin_AVEVA-2022-005.pdf