CRITICAL✓ PATCH🇬🇧 English

CVE-2025-61943

SQL Injection w Aveva Process Optimization umożliwiający RCE

CVSS 9.3v4.0pub. 2026-01-16upd. 2026-01-22

Podatność typu SQL injection (CWE-89) w komponencie Captive Historian produktu Aveva Process Optimization pozwala uwierzytelnionemu użytkownikowi o roli Standard User na manipulację zapytaniami SQL. W efekcie atakujący może uzyskać wykonanie kodu z uprawnieniami administracyjnymi SQL Server, co prowadzi do pełnego przejęcia instancji bazodanowej.

Pokaż oryginał (EN)

The vulnerability, if exploited, could allow an authenticated miscreant (Process Optimization Standard User) to tamper with queries in Captive Historian and achieve code execution under SQL Server administrative privileges, potentially resulting in complete compromise of the SQL Server.

🤖 Analiza AI
Jak działa

Uwierzytelniony użytkownik aplikacji (Standard User) może wstrzykiwać złośliwe dane do zapytań kierowanych do komponentu Captive Historian, wykorzystując lukę w walidacji danych wejściowych. Zmanipulowane zapytania SQL są wykonywane w kontekście konta administratora SQL Server. Dzięki temu atakujący może wykonywać dowolne polecenia na poziomie uprzywilejowanego konta bazy danych, co klasyfikuje podatność jako RCE.

Skutki

Atakujący może uzyskać pełną kontrolę nad instancją SQL Server, w tym możliwość odczytu, modyfikacji i usuwania danych, a także wykonywania poleceń systemowych za pośrednictwem mechanizmów bazy danych (np. xp_cmdshell). Skutkiem może być całkowite przejęcie serwera bazodanowego oraz danych procesowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja opisana w portalu wsparcia Aveva (softwaresupportsp.aveva.com) oraz w advisory CISA ICSA-26-015-01. Zaleca się ograniczenie dostępu do komponentu Captive Historian wyłącznie do zaufanych użytkowników oraz monitorowanie aktywności kont SQL Server.

Kogo dotyczy

Aveva Process Optimization (wersje wskazane w referencjach producenta — advisory ICSA-26-015-01)

Uwagi

Podatność dotyczy systemu OT (technologii operacyjnych) — advisory opublikowane przez CISA w ramach serii ICS-CERT (ICSA-26-015-01). Podatność wymaga uwierzytelnienia jako użytkownik o roli Process Optimization Standard User.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Aveva Process Optimization

    APP
    Aveva
    < 2025
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCESQLi
CWE
Referencje

Powiązane podatności

CVE-2025-61937CRITICAL10.0PL ✓ten sam produkt

RCE z uprawnieniami systemowymi w Aveva Process Optimization

CVE-2025-64691CRITICAL9.3PL ✓ten sam produkt

Privilege escalation przez manipulację skryptami TCL w Aveva Process Optimization

CVE-2025-65118CRITICAL9.3PL ✓ten sam produkt

Privilege escalation w Aveva Process Optimization (CWE-427)

CVE-2025-64729HIGH8.6ten sam produkt

The vulnerability, if exploited, could allow an authenticated miscreant (OS Standard User) to tamper with Pro...

CVE-2025-64769HIGH7.6ten sam produkt

The Process Optimization application suite leverages connection channels/protocols that by-default are not en...