Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Enterprise Data Management Web de AVEVA

Fecha de publicación 09/09/2020
Importancia
4 - Alta
Recursos Afectados

AVEVA Enterprise Data Management Web v2019 y todas las versiones anteriores conocidas como eDNAWeb.

Descripción

AVEVA ha publicado múltiples vulnerabilidades de inyección de código SQL que podrían permitir a un atacante ejecutar comandos SQL arbitrarios.

Solución

Actualizar a AVEVA™ Enterprise Data Management Web v2019 SP1, si esto no es posible, próximamente se lanzará un hotfix para eDNA Webv2018SP2.

Detalle

Múltiples vulnerabilidades de neutralización incorrecta de elementos especiales usados en un comando SQL (inyección SQL) en eDNAWeb podrían permitir a un atacante ejecutar comandos SQL arbitrarios con los privilegios de la cuenta eDNA Web para accesos SQL.

[Actualización 11/09/2020]: Se han asignado los identificadores CVE-2020-13499, CVE-2020-13500 y CVE-2020-13501 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
SECURITY BULLETINAVEVA-2020-001
[Actualización 11/09/2020] ICS Advisory (ICSA-20-254-01) AVEVA Enterprise Data Management Web
Etiquetas