Digitemis découvre deux vulnérabilités au sein d’un produit Sage

Lors d’une mission pour l’un de leurs clients, les auditeurs ont découvert et remonté à l’éditeur deux vulnérabilités inconnues sur la version 12.14.0.50-0 du produit Sage X3.
L’application Sage X3 propose de nombreuses fonctionnalités dont certaines ont particulièrement suscité l’intérêt des auditeurs.

Le produit Sage X3 est un ERP destiné aux PME-PMI et filiales de grands groupes, édité par la société britannique éditrice de logiciels Sage.

Découverte

XSS (CVE-2023-31868)
Certains champs, dont un, modifiable depuis un compte sans privilège, sont sujets à des failles de types « Cross-Site Scripting » (XSS). Un utilisateur malveillant est donc en mesure de modifier un champ texte par une charge malveillant pouvant cibler les administrateurs de la solution. Un exemple d’exploitation est donc d’utiliser cette vulnérabilité pour hameçonner un administrateur dans le but de voler son mot de passe.
Il est également important de noter que ces injections sont stockées sur l’application, et seront donc exécutées à chaque fois que la page sera chargée par un utilisateur.

Injection CSV (CVE-2023-31867)
La seconde vulnérabilité est une injection CSV. Cette vulnérabilité se produit lorsqu’une application web exporte des données malveillantes dans des fichiers CSV. Lorsqu’un tableau tel que Microsoft Excel ou LibreOffice Calc est utilisé pour ouvrir un CSV, toute cellule commençant par « = » sera interprétée par le logiciel comme une formule.
Ainsi, les auditeurs ont pu découvrir dans l’application Sage X3 plusieurs endroits où il était possible d’insérer des données malveillantes pouvant être exportées dans un CSV et exécutées sur le poste d’un utilisateur.

Correctifs

L’éditeur a publié un correctif sur les versions 11.30.5, 12.17.12, 12.16.4, 12.15.5, 12.14.8. Il est donc recommandé d’installer l’un de ces patchs, selon la version installée. Plus d’informations à propos de ce correctif :

https://www.sagecity.com/za/sage-x3/f/announcements/199880/security-hotfixes-delivery

Lien vers les Advisories :

Blog

Nos actualités cybersécurité

Privacy

Sanctions RGPD : ce que révèle le milliard d’euros d’amendes de 2025

5 février 2026

Privacy

Mise en conformité RGPD en 2026 : exigences de preuve et convergence réglementaire

Le RGPD a huit ans. Les grandes lignes n’ont pas changé, mais la manière dont les autorités vérifient leur application, elle, a considérablement évolué. Les déclarations de bonne intention ne suffisent plus. La CNIL et ses homologues européens veulent des preuves : des logs, des rapports d’audit, des attestations techniques. Ajoutez à cela l’entrée en application de l’AI Act et du Data Act, et vous obtenez un environnement réglementaire où la conformité RGPD ne peut plus se gérer en silo. Cet article fait le point sur ce qui a changé, ce qui se durcit et ce que ça implique concrètement pour les RSSI, DPO et directions juridiques.

4 février 2026

Cybersécurité

Stratégie cybersécurité 2026 : les nouveaux piliers de la résilience

Le 1er janvier 2026, l’ANSSI a pris la présidence du Groupe de travail sur la cybersécurité du G7. Un mois plus tard, le gouvernement dévoilait sa stratégie nationale pour 2026-2030. Ces deux événements dessinent un virage net : on passe d’une logique de protection périmétrique à une approche de résilience globale. Pour les RSSI et DSI, ce n’est pas qu’un changement de vocabulaire. Les obligations évoluent, les référentiels se durcissent, et la pression réglementaire s’étend désormais aux sous-traitants et aux PME. Voici ce qu’il faut comprendre et anticiper.

2 février 2026

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

*Informations obligatoires

Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.