Uso de credenciales en texto plano en Sage 200 Spain

Fecha de publicación 04/07/2023
Importancia
4 - Alta
Recursos Afectados

Sage 200 Spain, versión 2023.38.001.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a Sage 200 Spain, un software de gestión empresarial (ERP), la cual ha sido descubierta por Juan González, de Hispasec Sistemas.

A esta vulnerabilidad se le ha asignado el siguiente código:

CVE-2023-2809:

  • Puntuación base CVSS v3.1: 7.8.
  • Cálculo del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
  • Tipo de vulnerabilidad: CWE-312 Almacenamiento de información sensible en texto claro.
Solución

La vulnerabilidad ha sido solucionada por el equipo de Sage en la versión 2023.75.

Detalle

CVE-2023-2809: vulnerabilidad de uso de credenciales en texto plano en Sage 200 Spain, cuya explotación podría permitir a un atacante remoto extraer las credenciales de la base de datos SQL de la aplicación DLL. Esta vulnerabilidad podría vincularse a técnicas conocidas para obtener la ejecución remota de comandos MS SQL y escalar privilegios en sistemas Windows, debido a que las credenciales se almacenan en texto plano.

Listado de referencias