Skip to main content

Vulnerabilidades en el software Comarch ERP XL

mayo 25, 2024


ID CVE CVE-2023-4537
Fecha de publicación 15 de febrero de 2024
Proveedor Comarch S.A.
Producto Comarch ERP XL
Versiones vulnerables Desde 2020.2.2 hasta 2023.2
Tipo de vulnerabilidad (CWE) Falta cifrado de datos confidenciales (CWE-311)
Fuente del informe Informe al CERT Polonia
ID CVE CVE-2023-4538
Fecha de publicación 15 de febrero de 2024
Proveedor Comarch S.A.
Producto Comarch ERP XL
Versiones vulnerables Desde 2020.2.2 hasta 2023.2
Tipo de vulnerabilidad (CWE) Credenciales insuficientemente protegidas (CWE-522)
Fuente del informe Informe al CERT Polonia
ID CVE CVE-2023-4539
Fecha de publicación 15 de febrero de 2024
Proveedor Comarch S.A.
Producto Comarch ERP XL
Versiones vulnerables Desde 2020.2.2 hasta 2023.2
Tipo de vulnerabilidad (CWE) Uso de credenciales codificadas (CWE-798)
Fuente del informe Informe al CERT Polonia

Descripción

CERT Polska recibió un informe sobre vulnerabilidades encontradas en el software Comarch ERP XL y participó en la coordinación de su divulgación. Todas las vulnerabilidades han sido confirmadas por el proveedor y solucionadas en versiones más recientes.

  • la vulnerabilidad CVE-2023-4537 permite una solicitud de degradación del protocolo MS SQL desde el lado del servidor, lo que podría conducir a una comunicación no cifrada expuesta a la interceptación y modificación de datos.
  • la vulnerabilidad CVE-2023-4538 Son credenciales insuficientemente protegidas. Las credenciales de acceso a la base de datos configuradas durante la instalación se almacenan en una tabla especial y se cifran con una clave compartida, la misma en todas las instalaciones vulnerables de Comarch ERP XL. Esto podría permitir que un atacante con acceso a esa tabla recupere contraseñas de texto sin formato.
  • la vulnerabilidad CVE-2023-4539 permite a un atacante recuperar datos confidenciales incrustados almacenados en la base de datos. La misma contraseña codificada para una cuenta de base de datos especial se utiliza en todas las instalaciones vulnerables de Comarch ERP XL.

Créditos

Agradecemos a Marcin Ochab, PhD por el informe de vulnerabilidad responsable.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.



Source link

Translate »