Argitalpen data: 2020/09/09
Garrantzia: Handia
Kaltetutako baliabideak:
AVEVA Enterprise Data Management Web v2019 eta eDNAWeb gisa ezagunak diren aurreko bertsio guztiak.
Azalpena:
AVEVA enpresak SQL kodearen injekzio ahultasun batzuen berri eman du. Horien bidez, erasotzaile batek SQL komando arbitrarioak exekuta litzake.
Konponbidea:
AVEVATM Enterprise Data Management Web v2019 SP1 bertsiora eguneratzea; posible ez bada, laster jarriko da abian eDNAWebv2018SP2 bertsiorako hotfix bat.
Xehetasuna:
SQL komando batean (SQL injekzioa) erabilitako elementu berezien neutralizazio okerraren arloko hainbat ahultasun egonda, eDNAWeb sisteman erasotzaile batek SQL komandoak exekuta litzake, SQL sarbideetarako eDNA Web kontuaren pribilegioekin.
Etiketak: Eguneratzea, Ahultasuna