Uso de credenciales en texto plano en Sage 200

Uso de credenciales en texto plano en Sage 200
cristian.cadenas
Mar, 04/07/2023 – 12:11

Recursos Afectados

Sage 200, versión 2023.38.001.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a Sage 200, un software de gestión empresarial (ERP), la cual ha sido descubierta por Juan González, de Hispasec Sistemas.

A esta vulnerabilidad se le ha asignado el siguiente código:

CVE-2023-2809:

  • Puntuación base CVSS v3.1: 7.8.
  • Cálculo del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
  • Tipo de vulnerabilidad: CWE-798: Uso de Credenciales en Texto Claro.
4 – Alta
Solución

La vulnerabilidad ha sido solucionada por el equipo de Sage en la versión 2023.75.

Detalle

CVE-2023-2809: vulnerabilidad de uso de credenciales en texto plano en Sage 200, cuya explotación podría permitir a un atacante remoto extraer las credenciales de la base de datos SQL de la aplicación DLL. Esta vulnerabilidad podría vincularse a técnicas conocidas para obtener la ejecución remota de comandos MS SQL y escalar privilegios en sistemas Windows, debido a que las credenciales se almacenan en texto plano.

Listado de referencias

Ir a la fuente
Author: cristian.cadenas
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.