Un risque de sécurité dans Sage X3 a été découvert et pourrait avoir un impact sur les clients utilisant Sage X3, Sage X3 Warehousing, Sage X3 HR & Payroll et HRU9.

Suivre les meilleures pratiques de sécurité de Sage X3 réduit toujours les risques de sécurité. Cependant, nous vous conseillons vivement d'appliquer tous les correctifs de sécurité émis par Sage.

Voici deux alertes spécifiques qui ont été identifiées :

• Script stocké dans l'interface web (critique) : 

Un utilisateur authentifié peut créer un script malveillant qui entraînera l'exécution de code JavaScript arbitraire dans le contexte de l'utilisateur victime visitant la page vulnérable.

• Injection de formule CSV dans l'outil d'export CSV (majeur) : 

Un utilisateur authentifié peut créer une formule malveillante pour exécuter une commande arbitraire dans l'environnement système d'un utilisateur victime à partir de Microsoft Excel ou LibreOffice, si cet utilisateur a un niveau de sécurité Microsoft Excel ou LibreOffice Calc réduit.

Mises à jour de sécurité fournies par Sage conformément à la politique de cycle de vie des versions (Lifecycle Policy):

 . Pour la Version 11:

Ce composant SyracuseServer 11.30.5  s'applique au dernier niveau de patch V11 patch 22 (Corrige la vulnérabilité critique).

. Pour HRU9 : 

Ce composant  SyracuseServer 12.17.12  s'applique au dernier niveau de patch HRU9 patch 29 (Corrige les 2 vulnérabilités).

. Pour la Version 12 :

Les composants Syracuse suivants sont livrés pour les versions V12 ci dessous:

SyracuseServer 12.17.12 pour V12.0.32 (2022 R4) (Corrige les 2 vulnérabilités).

SyracuseServer 12.16.4 pour V12.0.31 (2022 R3) (Corrige les 2 vulnérabilités).

SyracuseServer 12.15.5 pour V12.0.30 (2022 R2) (Corrige les 2 vulnérabilités).

SyracuseServer 12.14.8 pour V12.0.29 (2022 R1) (Corrige la vulnérabilité critique).

Pour plus de détails merci de consulter cette FAQ :

Sage X3 Security Alert FAQ April 2023_updated.pdf