Sage X3企业管理软件中报告的关键缺陷

Sage X3 enterprise resource planning（ERP）产品中发现了四个安全漏洞，其中两个可以作为攻击序列的一部分链接在一起，以使对手能够执行恶意命令并控制易受攻击的系统

这些问题是由RAPID7研究人员发现的，他们在2021年2月3日通知了SGE集团的研究结果。该供应商在最近发布的Sage X3版本9（Syracuse 9.22.7.2）、Sage X3 HR&amp；工资单版本9（锡拉丘兹9.24.1.3）、Sage X3版本11（锡拉丘兹11.25.2.6）和Sage X3版本12（锡拉丘兹12.10.2.8）于3月份发货

漏洞列表如下所示-

• CVE-2020-7388（CVSS分数：10.0）-Sage X3未经验证的远程命令执行（RCE）作为AdxDSrv中的系统。exe组件
• CVE-2020-7389（CVSS分数为“5.5”）-系统“链”变量脚本命令注入（未计划修复）
• CVE-2020-7387（CVSS分数：5.3）-Sage X3安装路径名披露
• CVE-2020-7390（CVSS分数：4.6）-在用户配置文件的“编辑”页面上存储XSS漏洞
• “当结合CVE-2020-7387和CVE-2020-7388时，攻击者可以首先了解受影响软件的安装路径，然后使用该信息将命令传递给主机系统，以便在系统上下文中运行，”研究人员说。“这会允许攻击者运行任意操作系统命令来创建管理员级用户、安装恶意软件，或者出于任何目的完全控制系统。”

• 最严重的问题是CVE-2020-7388，它利用可通过internet访问的管理服务来处理恶意请求，目的是以“NT授权/系统”用户的身份在服务器上运行任意命令。该服务用于通过Sage X3控制台远程管理Sage ERP解决方案

#另外，与Sage X3 Syracuse web服务器组件中的用户配置文件相关联的“编辑”页面容易受到存储的XSS攻击（CVE-2020-7390），从而在“名字”、“姓氏”和“电子邮件”字段中的“mouseOver”事件期间执行任意JavaScript代码

“但是，如果成功，该漏洞可能会允许Sage X3的普通用户以当前登录的管理员身份执行特权功能，或者捕获管理员会话cookie，以便以后模拟为当前登录的管理员，”研究人员说