UNRICHTIGE NEUTRALIZIERUNG VON BESONDEREN ELEMENTEN, DIE IN EINEM SQL-KOMMAND (SQL INJECTION) CWE-89 VERWENDET WERDEN
. Das EDS-Subsystem bietet keine ausreichende Eingabedesinfektion, was es einem Angreifer ermöglichen kann, spezialisierte EDS-Dateien zu erstellen, um SQL-Abfragen einzuspeisen und die Datenbank zu manipulieren, in der die EDS-Dateien gespeichert sind. Dies kann zu Denial-of-Service (DoS)-Bedingungen führen oder es einem Angreifer ermöglichen, die SQL-Engine zu manipulieren, um Dateien auf dem System zu schreiben oder zu ändern.
Lesen Sie mehr: „Schwachstellen des EDS-Subsystems setzen OT-Assets der böswilligen Dateibereitstellung aus“
CVE-2020-12034
Rockwell Automation
EDS-Subsystem
8.2
Team82 hat sich verpflichtet, die betroffenen Anbieter in einer koordinierten, zeitnahen Weise privat über Schwachstellen zu informieren, um die Sicherheit des Cybersicherheits-Ökosystems weltweit zu gewährleisten. Um mit der Anbieter- und Forschungsgemeinschaft in Kontakt zu treten, lädt Team82 Sie ein, unsere Richtlinie zur koordinierten Offenlegung herunterzuladen und weiterzugeben. Team82 wird diesen Melde- und Offenlegungsprozess einhalten, wenn wir Schwachstellen in Produkten und Dienstleistungen entdecken.
Team82 hat auch seinen öffentlichen PGP-Schlüssel für Anbieter und Forschungsgemeinschaften zur Verfügung gestellt, um Schwachstellen und Forschungsinformationen sicher und sicher mit uns auszutauschen.
