Server-Side Request Forgery en productos Sage

Fecha de publicación 31/10/2023
Importancia
4 - Alta
Recursos Afectados
  • XRT Business Exchange DMZ y Proxy Tools, versiones 14.0.2.2259 y anteriores.
Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Sage XRT Business Exchange DMZ y Proxy Tools, una solución para el intercambio de datos financieros intragrupo y con las entidades financieras, la cual ha sido descubierta por Rafael Pedrero.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2023-4660: CVSS v3.1: 7.5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-918.
Solución

La vulnerabilidad ha sido solucionada por el equipo de Sage. Se recomienda a los clientes afectados actualizar a las siguientes versiones de software:

  • 15.0.1
  • 14.0.108
  • 14.0.5
Detalle

CVE-2023-4660: se ha reportado una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en XRT Business Exchange DMZ y Proxy Tools de Sage, que afecta a la versión 14.0.2.2259 y anteriores. Esta vulnerabilidad podría permitir a un atacante forzar un servidor vulnerable y activar solicitudes maliciosas a servidores de terceros o recursos internos.

Listado de referencias