CRITICAL✓ PATCH🇬🇧 English

CVE-2025-61937

RCE z uprawnieniami systemowymi w Aveva Process Optimization

CVSS 10.0v4.0pub. 2026-01-16upd. 2026-01-22

Podatność w oprogramowaniu Aveva Process Optimization umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) z uprawnieniami systemowymi usługi 'taoimr'. W przypadku wykorzystania może dojść do całkowitego przejęcia kontroli nad serwerem aplikacji modelu.

Pokaż oryginał (EN)

The vulnerability, if exploited, could allow an unauthenticated miscreant to achieve remote code execution under OS system privileges of “taoimr” service, potentially resulting in complete compromise of the  model application server.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-94 (Code Injection) pozwala napastnikowi na wstrzyknięcie i wykonanie złośliwego kodu bez konieczności uwierzytelnienia. Atak jest możliwy zdalnie, przez sieć, bez żadnej interakcji ze strony użytkownika ani szczególnych warunków konfiguracyjnych. Wykonany kod działa w kontekście uprawnień usługi systemowej 'taoimr', co zapewnia atakującemu wysoki poziom dostępu do systemu operacyjnego.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem aplikacji modelu, w tym możliwość odczytu, modyfikacji i usunięcia danych oraz instalacji złośliwego oprogramowania. Według wektora CVSS wpływ obejmuje kompromitację poufności, integralności i dostępności zarówno systemu docelowego, jak i systemów z nim powiązanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacje dostępne poprzez portal wsparcia Aveva (softwaresupportsp.aveva.com) oraz stronę aktualizacji cyberbezpieczeństwa Aveva. Zaleca się odizolowanie serwerów Aveva Process Optimization od sieci niezaufanych do czasu zastosowania poprawki oraz monitorowanie ruchu sieciowego kierowanego do usługi 'taoimr'.

Kogo dotyczy

Aveva Process Optimization — wersje wskazane w referencjach producenta (doradztwo CISA ICS: ICSA-26-015-01 oraz strona wsparcia Aveva).

Uwagi

Podatność dotyczy środowisk OT (Operational Technology) — doradztwo zostało wydane przez CISA w ramach serii ICS-CERT (ICSA-26-015-01), co wskazuje na szczególne znaczenie dla infrastruktury przemysłowej i systemów sterowania procesami.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Aveva Process Optimization

    APP
    Aveva
    < 2025
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-61943CRITICAL9.3PL ✓ten sam produkt

SQL Injection w Aveva Process Optimization umożliwiający RCE

CVE-2025-64691CRITICAL9.3PL ✓ten sam produkt

Privilege escalation przez manipulację skryptami TCL w Aveva Process Optimization

CVE-2025-65118CRITICAL9.3PL ✓ten sam produkt

Privilege escalation w Aveva Process Optimization (CWE-427)

CVE-2025-64729HIGH8.6ten sam produkt

The vulnerability, if exploited, could allow an authenticated miscreant (OS Standard User) to tamper with Pro...

CVE-2025-64769HIGH7.6ten sam produkt

The Process Optimization application suite leverages connection channels/protocols that by-default are not en...