Server-Side Request Forgery en productos Sage
- XRT Business Exchange DMZ y Proxy Tools, versiones 14.0.2.2259 y anteriores.
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Sage XRT Business Exchange DMZ y Proxy Tools, una solución para el intercambio de datos financieros intragrupo y con las entidades financieras, la cual ha sido descubierta por Rafael Pedrero.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2023-4660: CVSS v3.1: 7.5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-918.
La vulnerabilidad ha sido solucionada por el equipo de Sage. Se recomienda a los clientes afectados actualizar a las siguientes versiones de software:
- 15.0.1
- 14.0.108
- 14.0.5
CVE-2023-4660: se ha reportado una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en XRT Business Exchange DMZ y Proxy Tools de Sage, que afecta a la versión 14.0.2.2259 y anteriores. Esta vulnerabilidad podría permitir a un atacante forzar un servidor vulnerable y activar solicitudes maliciosas a servidores de terceros o recursos internos.
