CRITICAL✓ PATCH🇬🇧 English

CVE-2025-64691

Privilege escalation przez manipulację skryptami TCL w Aveva Process Optimization

CVSS 9.3v4.0pub. 2026-01-16upd. 2026-01-22

Podatność w Aveva Process Optimization umożliwia uwierzytelnionemu użytkownikowi systemu operacyjnego (zwykły użytkownik OS) manipulację skryptami TCL Macro i eskalację uprawnień do poziomu systemowego. W przypadku wykorzystania może dojść do całkowitego przejęcia serwera aplikacji modelu.

Pokaż oryginał (EN)

The vulnerability, if exploited, could allow an authenticated miscreant (OS standard user) to tamper with TCL Macro scripts and escalate privileges to OS system, potentially resulting in complete compromise of the model application server.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (Code Injection) pozwala uwierzytelnionemu, ale nieuprzywilejowanemu użytkownikowi systemu operacyjnego na modyfikację skryptów TCL Macro w aplikacji. Zmanipulowane skrypty są następnie wykonywane w kontekście wyższych uprawnień, co prowadzi do eskalacji uprawnień z poziomu zwykłego użytkownika OS do poziomu systemowego (OS system). Wektor ataku jest lokalny, nie wymaga interakcji użytkownika ani szczególnych warunków wstępnych poza posiadaniem standardowego konta OS.

Skutki

Atakujący może uzyskać uprawnienia systemowe na hoście, co skutkuje całkowitym przejęciem serwera aplikacji modelu (model application server), w tym pełną kontrolą nad danymi, konfiguracją oraz procesami przemysłowymi obsługiwanymi przez aplikację.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (portal wsparcia Aveva: softwaresupportsp.aveva.com oraz strona aktualizacji bezpieczeństwa aveva.com). Zalecane jest również ograniczenie dostępu lokalnego do systemu wyłącznie do zaufanych, niezbędnych kont użytkowników oraz monitorowanie zmian w skryptach TCL Macro.

Kogo dotyczy

Aveva Process Optimization — wersje wskazane w referencjach producenta

Uwagi

Podatność dotyczy środowisk OT (Operational Technology) — serwer aplikacji modelu może być powiązany z infrastrukturą przemysłową. Advisory opublikowane przez CISA jako ICS Advisory ICSA-26-015-01.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Aveva Process Optimization

    APP
    Aveva
    < 2025
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-61937CRITICAL10.0PL ✓ten sam produkt

RCE z uprawnieniami systemowymi w Aveva Process Optimization

CVE-2025-61943CRITICAL9.3PL ✓ten sam produkt

SQL Injection w Aveva Process Optimization umożliwiający RCE

CVE-2025-65118CRITICAL9.3PL ✓ten sam produkt

Privilege escalation w Aveva Process Optimization (CWE-427)

CVE-2025-64729HIGH8.6ten sam produkt

The vulnerability, if exploited, could allow an authenticated miscreant (OS Standard User) to tamper with Pro...

CVE-2025-64769HIGH7.6ten sam produkt

The Process Optimization application suite leverages connection channels/protocols that by-default are not en...