JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月11日(米国時間)、「JVNVU#99798460: AVEVA 製 Enterprise Data Management Web に SQL インジェクションの脆弱性」において、AVEVAが提供しているデータ管理プラットフォームの「Enterprise Data Management Web」にSQLインジェクションの脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってリモートから任意のSQLコマンドを実行される危険性がある。

脆弱性に関する情報は、開発元による次のアドバイザリ(pdf文書)にまとめられている。

Aveva Software LLC. Security Advisory

SECURITY BULLETIN AVEVA-2020-001

AVEVAによると、この脆弱性はeDNA Webのコンポーネントに存在するもので、悪意のある攻撃者がSQLアクセス用に設定されたアカウントの権限で任意のSQLコマンドを実行するおそれがあるという。

この脆弱性の影響を受ける製品およびバージョンは次の通り。

Enterprise Data Management Web v2017より前のバージョン

Enterprise Data Management Web v2017からv2019までのバージョン

脆弱性の深刻度を表すCVSS v3のスコアは、前者が9.6、後者が9.0で、いずれも「緊急(Critical)」に分類されており、注意が必要。AVEVAでは、できるだけ早く対策版であるEnterprise Data Management Web v2019 SP1にアップグレードすることを推奨している。 v2019 SP1へのアップグレードができない場合には、eDNA Web v2018 SP2のホットフィックスを利用できる可能性があるとのことだ。