Vier kwetsbaarheden in Sage X3 ERP gevonden

Abonneer je gratis op Techzine!

Rapid7 heeft details vrijgegeven van vier kwetsbaarheden in Sage X3. Een daarvan, CVE-2020-7388, heeft een beoordeling van 10,0 (Critical). Sage heeft al sinds maart patches beschikbaar.

Rapid7 zegt dat het de kwetsbaarheden in december 2020 heeft geïdentificeerd. Details werden in februari doorgegeven aan Sage die in maart updates uitbracht. In mei nam Sage contact op met klanten die de patches nog niet hadden aangebracht. Het gaat om de volgende kwetsbaarheden:

  • CVE-2020-7388 (CWE-290):
    Ongeauthentiseerde Command Execution omzeiling door Spoofing in AdxAdmin.
    CVSS score 10.0 (Critical): update beschikbaar.
  • CVE-2020-7387 (CWE-200):
    Blootstellen van gevoelige informatie aan een ongeautoriseerde actor in AdxAdmin.
    CVSS score 5.3 (Medium): update beschikbaar.
  • CVE-2020-7389 (CWE-306):
    Het missen van authenticatie voor Critical Function in Developer Environment in Syracuse.
    CVSS score 5.5 (Medium): geen fix gepland, omdat het geen productfunctie is.
  • CVE-2020-7390 (CWE-79):
    Persistent Cross-Site Scripting (XSS) in Syracuse.
    CVSS score  4.6 (Medium): update beschikbaar.

Kritiek

De eerste drie kwetsbaarheden hebben betrekking op V9, V11 en V12, de laatste alleen op V12. Recente releases van de drie zijn al gecorrigeerd. Alleen het eerste probleem is als kritiek beoordeeld. Het risico is dat de client kan afzien van authenticatie, waarna opdrachten uitgevoerd worden als SYSTEM in plaats van een impersonated user account.

Voor veel organisaties lijkt dit niet een groot risico, omdat ze X3 niet blootstellen aan internet. Het gevaar schuilt er echter in, dat een aanvaller die toegang krijgt tot de organisatie, de kwetsbaarheid kan gebruiken om van binnenuit aan te vallen, zo stelt Rapid7. Ook de andere kwetsbaarheden vormen een serieus risico voor een aanval van binnen de onderneming.

“We zijn Rapid7 dankbaar, dat Sage onlangs op de hoogte heeft gebracht van een kwetsbaarheid in ons lokale Sage X3-product,” reageerde Sage.