Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Enterprise Data Management Web de AVEVA

Múltiples vulnerabilidades en Enterprise Data Management Web de AVEVA

Fecha de publicación: 
09/09/2020
Importancia: 
4 - Alta
Recursos afectados: 

AVEVA Enterprise Data Management Web v2019 y todas las versiones anteriores conocidas como eDNAWeb.

Descripción: 

AVEVA ha publicado múltiples vulnerabilidades de inyección de código SQL que podrían permitir a un atacante ejecutar comandos SQL arbitrarios.

Solución: 

Actualizar a AVEVA™ Enterprise Data Management Web v2019 SP1, si esto no es posible, próximamente se lanzará un hotfix para eDNA Webv2018SP2.

Detalle: 

Múltiples vulnerabilidades de neutralización incorrecta de elementos especiales usados en un comando SQL (inyección SQL) en eDNAWeb podrían permitir a un atacante ejecutar comandos SQL arbitrarios con los privilegios de la cuenta eDNA Web para accesos SQL.

[Actualización 11/09/2020]: Se han asignado los identificadores CVE-2020-13499, CVE-2020-13500 y CVE-2020-13501 para esta vulnerabilidad.

Encuesta valoración