Utilitzar credencials en text pla a Sage 200

Alta alerta 4

Recursos Afectats

Sage 200, versió 2023.38.001.

Descripció

INCIBE ha anunciat una vulnerabilitat que afecta Sage 200, programari de gestió empresarial (ERP).

A aquesta vulnerabilitat se li ha assignat el codi següent:

CVE-2023-2809:

  • Puntuació base CVSS v3.1: 7.8.
  • Càlcul del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
  • Tipus de vulnerabilitat: CWE-798: Ús de Credencials en Text Clar.

Solució

La vulnerabilitat ha estat solucionada per l'equip de Sage a la versió 2023.75.

Detall

CVE-2023-2809: vulnerabilitat d'ús de credencials en text pla a Sage 200, l'explotació del qual podria permetre a un atacant remot extreure les credencials de la base de dades SQL de l'aplicació DLL. Aquesta vulnerabilitat podria vincular-se a tècniques conegudes per obtenir l'execució remota de comandes MS SQL i escalar privilegis en sistemes Windows, ja que les credencials s'emmagatzemen en text pla.

Llistat de referències

Sage 200- Fitxa de producte
Publicacions relacionades:
Rep les alertes de seguretat al teu email:
Comparteix aquesta alerta de seguretat:

Deixa un comentari

LIVE WEBINAR | 26/10/23

Com implantar un SOC 24/7 amb Sophos MDR

Inscriu-te al webinar

Alertes de seguretat

Estigues informat, rep-les al teu email
Consulta les últimes alertes