Digitemis découvre deux vulnérabilités au sein d’un produit Sage
-
Sujets :
- ERP,
- vulnérabilités
Le produit Sage X3 est un ERP destiné aux PME-PMI et filiales de grands groupes, édité par la société britannique éditrice de logiciels Sage.
Découverte
Lors d’une mission pour l’un de leurs clients, les auditeurs ont découvert et remonté à l’éditeur deux vulnérabilités inconnues sur la version 12.14.0.50-0 du produit Sage X3.
L’application Sage X3 propose de nombreuses fonctionnalités dont certaines ont particulièrement suscité l’intérêt des auditeurs.
XSS (CVE-2023-31868)
Certains champs, dont un, modifiable depuis un compte sans privilège, sont sujets à des failles de types « Cross-Site Scripting » (XSS). Un utilisateur malveillant est donc en mesure de modifier un champ texte par une charge malveillant pouvant cibler les administrateurs de la solution. Un exemple d’exploitation est donc d’utiliser cette vulnérabilité pour hameçonner un administrateur dans le but de voler son mot de passe.
Il est également important de noter que ces injections sont stockées sur l’application, et seront donc exécutées à chaque fois que la page sera chargée par un utilisateur.
Injection CSV (CVE-2023-31867)
La seconde vulnérabilité est une injection CSV. Cette vulnérabilité se produit lorsqu’une application web exporte des données malveillantes dans des fichiers CSV. Lorsqu’un tableau tel que Microsoft Excel ou LibreOffice Calc est utilisé pour ouvrir un CSV, toute cellule commençant par « = » sera interprétée par le logiciel comme une formule.
Ainsi, les auditeurs ont pu découvrir dans l’application Sage X3 plusieurs endroits où il était possible d’insérer des données malveillantes pouvant être exportées dans un CSV et exécutées sur le poste d’un utilisateur.
Correctifs
L’éditeur a publié un correctif sur les versions 11.30.5, 12.17.12, 12.16.4, 12.15.5, 12.14.8. Il est donc recommandé d’installer l’un de ces patchs, selon la version installée. Plus d’informations à propos de ce correctif :
https://www.sagecity.com/za/sage-x3/f/announcements/199880/security-hotfixes-delivery
Lien vers les Advisories :
- https://github.com/Digitemis/Advisory/blob/main/CVE-2023-31867.txt
- https://github.com/Digitemis/Advisory/blob/main/CVE-2023-31868.txt
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-31867
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-31868
- https://www.sagecity.com/za/sage-x3/f/announcements/199880/security-hotfixes-delivery
Ecrit par Maxime DUPUIS et Romain DELAUNAY
Je partage
Derniers articles
DPO interne ou externe : les clés pour faire le bon choix
La désignation d’un DPO est une disposition essentielle du RGPD pour être en conformité (article 37 à 39 du RGPD). Elle est obligatoire dans certains cas et reste fortement conseillée pour les autres. En tant que responsable de traitement, vous avez le choix de nommer un DPO en interne ou bien d’externaliser cette fonction. A travers cet article, découvrez les points de vigilance à intégrer à votre réflexion.
Comment évaluer la résilience de votre entreprise face aux attaques informatiques ?
La résilience en cybersécurité est cruciale pour toutes les entreprises, quel que soit sa taille ou son secteur d’activité. Cela englobe la capacité à anticiper, prévenir, et récupérer de diverses menaces informatiques. Digitemis vous aide à évaluer votre résilience.