公開日:2020/09/11 最終更新日:2020/09/11

JVNVU#99798460
AVEVA 製 Enterprise Data Management Web に SQL インジェクションの脆弱性

概要

AVEVA 社が提供する Enterprise Data Management Web (旧 eDNA Web) には、SQL インジェクションの脆弱性が存在します。

影響を受けるシステム

  • Enterprise Data Management Web v2019 およびそれ以前

詳細情報

Enterprise Data Management Web は AVEVA 社が提供するデータ管理プラットフォームです。
Enterprise Data Management Web には、SQL インジェクションの脆弱性が存在します。

想定される影響

隣接するネットワーク上の第三者が、SQL アクセス用に設定されたアカウントの権限で任意の SQL コマンドを実行する可能性があります。

v2017 より前のバージョン

  • SQL インジェクション (CWE-89)
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 9.6

v2017 から v2019 までのバージョン
  • SQL インジェクション (CWE-89)
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 基本値: 9.0

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • Enterprise Data Management Web v2019 SP1
なお、上記バージョンにアップデートできない場合は、eDNA Web v2018 SP2 の hot-fix が利用可能です。
(eDNA Web v2018 以外のバージョンでは hot-fix が提供されていません)
詳細は、AVEVA グローバルカスタマーサポートへお問い合わせください。

ベンダ情報

ベンダ リンク
AVEVA SECURITY BULLETIN AVEVA-2020-001

参考情報

  1. ICS Advisory (ICSA-20-254-01)
    AVEVA Enterprise Data Management Web

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-13499
CVE-2020-13500
CVE-2020-13501
JVN iPedia