Alta
Recursos Afectados
Sage 200, versión 2023.38.001.
Descripción
INCIBE ha anunciado una vulnerabilidad que afecta a Sage 200, software de gestión empresarial (ERP).
A esta vulnerabilidad se le ha asignado el siguiente código:
CVE-2023-2809:
- Puntuación base CVSS v3.1: 7.8.
- Cálculo del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
- Tipo de vulnerabilidad: CWE-798: Uso de Credenciales en Texto Claro.
Solución
La vulnerabilidad ha sido solucionada por el equipo de Sage en la versión 2023.75.
Detalle
CVE-2023-2809: vulnerabilidad de uso de credenciales en texto plano en Sage 200, cuya explotación podría permitir a un atacante remoto extraer las credenciales de la base de datos SQL de la aplicación DLL. Esta vulnerabilidad podría vincularse a técnicas conocidas para obtener la ejecución remota de comandos MS SQL y escalar privilegios en sistemas Windows, debido a que las credenciales se almacenan en texto plano.
Listado de referencias
Soporte Sage
Si tiene dudas, puede abrir un ticket de soporte enviando un email a sage@infordisa.com