Múltiples vulnerabilidades en Enterprise Data Management Web de AVEVA
AVEVA Enterprise Data Management Web v2019 y todas las versiones anteriores conocidas como eDNAWeb.
AVEVA ha publicado múltiples vulnerabilidades de inyección de código SQL que podrían permitir a un atacante ejecutar comandos SQL arbitrarios.
Actualizar a AVEVA™ Enterprise Data Management Web v2019 SP1, si esto no es posible, próximamente se lanzará un hotfix para eDNA Webv2018SP2.
Múltiples vulnerabilidades de neutralización incorrecta de elementos especiales usados en un comando SQL (inyección SQL) en eDNAWeb podrían permitir a un atacante ejecutar comandos SQL arbitrarios con los privilegios de la cuenta eDNA Web para accesos SQL.
[Actualización 11/09/2020]: Se han asignado los identificadores CVE-2020-13499, CVE-2020-13500 y CVE-2020-13501 para esta vulnerabilidad.
