Vulnerabilidad en el directorio de instalación en el componente AdxDSrv.exe en Sage X3 (CVE-2020-7387)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/07/2021
Última modificación:
09/08/2021
Descripción
Una Divulgación del Nombre de la ruta de Instalación de Sage X3. Un paquete especialmente diseñado puede causar una respuesta del componente AdxDSrv.exe que revela el directorio de instalación del producto. Tenga en cuenta que esta vulnerabilidad puede ser combinada con CVE-2020-7388 para lograr un RCE completo. Este problema fue corregido en AdxAdmin versión 93.2.53, que se envía con actualizaciones para las versiones locales de Sage X3 Versión 9 (componentes enviados con Syracuse versiones 9.22.7.2 y posteriores), Sage X3 HR & Payroll Versión 9 (aquellos componentes que se envían con Syracuse versiones 9.24.1.3), Versión 11 (componentes enviados con Syracuse versiones 11.25.2.6 y posteriores) y Versión 12 (componentes enviados con Syracuse versiones 12.10.2.8 y posteriores) de Sage X3. Otras versiones locales de Sage X3 no son compatibles con el proveedor
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sage:adxadmin:*:*:*:*:*:*:*:* | 93.2.53 (excluyendo) | |
| cpe:2.3:a:sage:x3:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sage:x3:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sage:x3:12.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sage:x3_hr_\&_payroll:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página