Sage XRT Treasury – Rechteausweitung über Datenbankzugriff
Kennzahlen
- CVSS-Basiswert
- 8.8
- Veröffentlicht
- Aktualisiert
- Quelle
- NVD
Beschreibung
Sage XRT Treasury (Version 3) schränkt den Datenbankzugriff nicht ausreichend auf berechtigte Benutzer ein. Da die Zugriffsrechte über das Feld USER_CODE bestimmt werden, kann ein niedrig privilegierter, authentifizierter Benutzer durch Ändern dieses Werts auf den eines privilegierten Kontos privilegierten Zugriff auf die SQL-Datenbank erlangen. Über speziell gestaltete SQL-Abfragen lässt sich so privilegierter Zugriff auf die Anwendungsdatenbank erreichen. CVSS-Basiswert: 8.8 (Hoch). Empfohlene Massnahme: Herstellerkorrektur einspielen und Datenbankberechtigungen prüfen.
Changelog
-
2026-07-14 · zuletzt
- Report neu erstellt.
Automatisch aus dem Vergleich der Datenstände erzeugt (CVSS, Schweregrad, KEV-Status, Ransomware, betroffene Produkte, EPSS-Sprünge ab 5 Prozentpunkten). Nicht redaktionell verfasst.
Betroffene Produkte
Quellen und Referenzen
Weitere Schwachstellen in Sage
- Sage X3 – nicht authentifizierte Remote-Code-Ausführung als SYSTEM in AdxDSrv.exe CVE-2020-7388
- Sage 300 – fest einprogrammierter Blowfish-Schlüssel schützt Konfigurations- und Datenbankgeheimnisse CVE-2022-41397
- Sage 300: fest einprogrammierter Schlüssel zur Passwortverschlüsselung CVE-2022-41400
- Sage-Erweiterung für Firefox – Operationen mit Chrome-Rechten ermöglichen Codeausführung CVE-2009-4102
- Sage Enterprise Intelligence 2021 R1.1 – mehrere Cross-Site-Scripting-Schwachstellen CVE-2022-34322
- Sage XRT Business Exchange – mehrere SQL-Injections CVE-2022-34324
Feed folgen, kostenlos
Priorisierte Schwachstellen per RSS sofort verfolgen, frei zugänglich und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage.
RSS-Feed öffnen Zustellung anfragenÜber diesen Report
- Priorisierung nach KEV-Status, EPSS-Score und CVSS-Basiswert.
- Stündliche Aktualisierung durch die Threat-Intelligence-Pipeline.
- NIS2/CRA-relevante Produkte im DACH-Markt.