Usar credenciales en texto plano en Sage 200

Alta Alerta 4

Recursos Afectados

Sage 200, versión 2023.38.001.

Descripción

INCIBE ha anunciado una vulnerabilidad que afecta a Sage 200, software de gestión empresarial (ERP).

A esta vulnerabilidad se le ha asignado el siguiente código:

CVE-2023-2809:

  • Puntuación base CVSS v3.1: 7.8.
  • Cálculo del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
  • Tipo de vulnerabilidad: CWE-798: Uso de Credenciales en Texto Claro.

Solución

La vulnerabilidad ha sido solucionada por el equipo de Sage en la versión 2023.75.

Detalle

CVE-2023-2809: vulnerabilidad de uso de credenciales en texto plano en Sage 200, cuya explotación podría permitir a un atacante remoto extraer las credenciales de la base de datos SQL de la aplicación DLL. Esta vulnerabilidad podría vincularse a técnicas conocidas para obtener la ejecución remota de comandos MS SQL y escalar privilegios en sistemas Windows, debido a que las credenciales se almacenan en texto plano.

Listado de referencias

Inscríbete para estar al día
Comparte esta alerta de seguridad:

Deja un comentario

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Servicio de avisos

Recibe las alertas más importantes