Uso de credenciales en texto plano en Sage 200 Spain
Sage 200 Spain, versión 2023.38.001.
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a Sage 200 Spain, un software de gestión empresarial (ERP), la cual ha sido descubierta por Juan González, de Hispasec Sistemas.
A esta vulnerabilidad se le ha asignado el siguiente código:
CVE-2023-2809:
- Puntuación base CVSS v3.1: 7.8.
- Cálculo del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
- Tipo de vulnerabilidad: CWE-312 Almacenamiento de información sensible en texto claro.
La vulnerabilidad ha sido solucionada por el equipo de Sage en la versión 2023.75.
CVE-2023-2809: vulnerabilidad de uso de credenciales en texto plano en Sage 200 Spain, cuya explotación podría permitir a un atacante remoto extraer las credenciales de la base de datos SQL de la aplicación DLL. Esta vulnerabilidad podría vincularse a técnicas conocidas para obtener la ejecución remota de comandos MS SQL y escalar privilegios en sistemas Windows, debido a que las credenciales se almacenan en texto plano.
