CVE-2022-27893 – The Foundry Magritte plugin osisoft-pi-web-connector was found to be logging in a manner that captured authentication requests.
https://notcve.org/view.php?id=CVE-2022-27893
The Foundry Magritte plugin osisoft-pi-web-connector versions 0.15.0 - 0.43.0 was found to be logging in a manner that captured authentication requests. This vulnerability is resolved in osisoft-pi-web-connector version 0.44.0. Se descubrió que el complemento Foundry Magritte osissoft-pi-web-connector versiones 0.15.0 - 0.43.0 registraba de una manera que capturaba las solicitudes de autenticación. Esta vulnerabilidad se resuelve en osisoft-pi-web-connector versión 0.44.0. • https://github.com/palantir/security-bulletins/blob/main/PLTRSEC-2022-03.md • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2020-25167 – OSIsoft PI Vision Incorrect Authorization
https://notcve.org/view.php?id=CVE-2020-25167
OSIsoft PI Vision 2020 versions prior to 3.5.0 could disclose information to a user with insufficient privileges for an AF attribute. OSIsoft PI Vision 2020 versiones anteriores a 3.5.0, podían divulgar información a un usuario con privilegios insuficientes para un atributo AF • https://www.cisa.gov/uscert/ics/advisories/icsa-20-315-02 • CWE-863: Incorrect Authorization •
CVE-2020-25163 – OSIsoft PI Vision Cross-site Scripting
https://notcve.org/view.php?id=CVE-2020-25163
A remote attacker with write access to PI ProcessBook files could inject code that is imported into OSIsoft PI Vision 2020 versions prior to 3.5.0. Unauthorized information disclosure, modification, or deletion is also possible if a victim views or interacts with the infected display. This vulnerability affects PI System data and other data accessible with victim’s user permissions. Un atacante remoto con acceso de escritura a los archivos PI ProcessBook podría inyectar código importado en OSIsoft PI Vision 2020 versiones anteriores a 3.5.0. También es posible la divulgación, modificación o eliminación de información no autorizada si una víctima visualiza o interactúa con la pantalla infectada. • https://www.cisa.gov/uscert/ics/advisories/icsa-20-315-02 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-43549 – OSIsoft PI Web API
https://notcve.org/view.php?id=CVE-2021-43549
A remote authenticated attacker with write access to a PI Server could trick a user into interacting with a PI Web API endpoint and redirect them to a malicious website. As a result, a victim may disclose sensitive information to the attacker or be provided with false information. Un atacante remoto autenticado con acceso de escritura a un servidor PI podría engañar a un usuario para que interactuara con un endpoint de la API web de PI y lo redirigiera a un sitio web malicioso. Como resultado, una víctima podría revelar información confidencial al atacante o recibir información falsa. • https://us-cert.cisa.gov/ics/advisories/icsa-21-313-06 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-43553 – OSIsoft PI Vision
https://notcve.org/view.php?id=CVE-2021-43553
PI Vision could disclose information to a user with insufficient privileges for an AF attribute that is the child of another attribute and is configured as a Limits property. PI Vision podría revelar información a un usuario con privilegios insuficientes para un atributo de AF que es hijo de otro atributo y está configurado como una propiedad de Límites • https://us-cert.cisa.gov/ics/advisories/icsa-21-313-05 • CWE-863: Incorrect Authorization •