Blog navigation

Últimas entradas del blog

Explotación de Vulnerabilidades de Seguridad en el Software de Sage X3

 

Esta solución explota una vulnerabilidad de seguridad del software y no sigue el enfoque estándar.

Tenga en cuenta que Sage X3 llama a un programa externo llamado Crystal Report para generar informes.

La comunicación entre estos componentes de software no es segura y podría ser explotada si es accesible por parte de socios o clientes.

Esta operación no debe realizarse para recursos externos y no confiables.

Problema:

La consola de gestión cifra el campo de contraseña de la base de datos y recuperarlo puede ser un desafío.

Consola Sage X3
Prerrequisito:

- Se requiere acceso a la carpeta de Sage X3 con Eclipse o el Editor de Script.

- Configurar el punto de entrada AIMP3.

Solución: Código del punto de entrada AIMP3:

$ACTION

Caso ACTION

Cuando "PARAM": Gosub RECOVERY

Fin del caso

Devolver

$RECOVERY

Para IT=1 Hasta NBPAR

Si find(left$(PARAMETRE(IT), 12), "__DBPASSWORD"): Infobox PARAMETRE(IT) : Fin del si

Siguiente IT

Devolver

Después, al imprimir cualquier cosa con Sage X3 basado en Crystal Report, aparecerá una ventana emergente que contiene la contraseña de la base de datos para el inicio de sesión de SA.

Infobox Sage X3
 
Publicado en: Sage X3, Configuration