- 15 Şub 2021
- 415
- 528
Sage X3 Kurumsal Kaynak Planlama (ERP) Ürününde, Güvenlik Açıkları Ortaya Çıktı!
Sage X3 (ERP) ürünü işletmelerin kayaklarını (İnsan Kaynakları, Fiziksel Kaynaklar, Finansal Kaynaklar) bir araya getirerek uçtan uca yönetilmesini ve şifrelenmesini sağlamak amacıyla çıkarılmıştı. Bu denli önemli bir ürünün güvenlik hususunda da ileri düzey bir alt yapıya sahip olması gerekirken, yapılan araştırmalar sonucu dört güvenlik açığının bulunduğu tespit edildi.
Rapid7 araştırmacıları tarafından tespit edilen güvenlik açıkları Sage X3 Sürüm 9 (Syracuse 9.22.7.2) ve Sage X3 HR & Bordro sürümlerinde bulunmasıyla birlikte, son sürümlerde düzeltmeler yayınlandı.
Akıllara kazınmış tek soru ise bu açıklar kullanıldı mı?
Tespit Edilen Güvenlik Açıkları
· CVE-2020-7388 (CVSS score: 10.0) - Sage X3 Unauthenticated Remote Command Execution (RCE) as SYSTEM in AdxDSrv.exe component
· CVE-2020-7389 (CVSS score" 5.5) - System "CHAINE" Variable Script Command Injection (No fix planned)
· CVE-2020-7387 (CVSS score: 5.3) - Sage X3 Installation Pathname Disclosure
· CVE-2020-7390 (CVSS score: 4.6) - Stored XSS Vulnerability on 'Edit' Page of User Profile
Sage X3 (ERP) ürünü işletmelerin kayaklarını (İnsan Kaynakları, Fiziksel Kaynaklar, Finansal Kaynaklar) bir araya getirerek uçtan uca yönetilmesini ve şifrelenmesini sağlamak amacıyla çıkarılmıştı. Bu denli önemli bir ürünün güvenlik hususunda da ileri düzey bir alt yapıya sahip olması gerekirken, yapılan araştırmalar sonucu dört güvenlik açığının bulunduğu tespit edildi.
Rapid7 araştırmacıları tarafından tespit edilen güvenlik açıkları Sage X3 Sürüm 9 (Syracuse 9.22.7.2) ve Sage X3 HR & Bordro sürümlerinde bulunmasıyla birlikte, son sürümlerde düzeltmeler yayınlandı.
Akıllara kazınmış tek soru ise bu açıklar kullanıldı mı?
Tespit Edilen Güvenlik Açıkları
· CVE-2020-7388 (CVSS score: 10.0) - Sage X3 Unauthenticated Remote Command Execution (RCE) as SYSTEM in AdxDSrv.exe component
· CVE-2020-7389 (CVSS score" 5.5) - System "CHAINE" Variable Script Command Injection (No fix planned)
· CVE-2020-7387 (CVSS score: 5.3) - Sage X3 Installation Pathname Disclosure
· CVE-2020-7390 (CVSS score: 4.6) - Stored XSS Vulnerability on 'Edit' Page of User Profile