Jonathan Peterson

**Nome do software vulnerável e versões afetadas: Sage X3 System (versões afetadas não especificadas) Descrição: A vulnerabilidade permite que um usuário autenticado com acesso de desenvolvedor injete comandos do sistema operacional por meio da variável `CHAINE` utilizada pela aplicação web. É importante ressaltar que essa configuração de desenvolvedor não deve ser implantada em ambiente de produção. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Sage X3 anteriores à 9 com Syracuse 9.22.7.2 Versões do Sage X3 HR & Payroll anteriores à 9 com Syracuse 9.24.1.3 Versões do Sage X3 anteriores à 11 com Syracuse 11.25.2.6 Versões do Sage X3 anteriores à 12 com Syracuse 12.10.2.8 Descrição: Um pacote especialmente criado pode provocar uma resposta do componente AdxDSrv.exe que revela o diretório de instalação do produto. Esse problema pode ser combinado com outra vulnerabilidade para permitir a execução remota completa de código (RCE). Recomendações: Para versões do Sage X3 anteriores à 9 com Syracuse 9.22.7.2, atualize para o AdxAdmin 93.2.53 ou posterior. Para versões do Sage X3 HR & Payroll anteriores à 9 com Syracuse 9.24.1.3, atualize para o AdxAdmin 93.2.53 ou posterior. Para versões do Sage X3 anteriores à 11 com Syracuse 11.25.2.6, atualize para o AdxAdmin 93.2.53 ou posterior. Para versões do Sage X3 anteriores à 12 com Syracuse 12.10.2.8, atualize para o AdxAdmin 93.2.53 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Akkadian Provisioning Manager Engine (PME) anteriores à 5.0.2 Versões do dispositivo Akkadian OVA anteriores à 3.0 Versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0 **Descrição** O problema diz respeito a uma credencial codificada, com o nome de usuário `akkadianuser` e a senha `haakkadianpassword`. Isso representa um risco de segurança significativo, pois pode permitir acesso não autorizado. **Recomendações** Para versões do Akkadian Provisioning Manager Engine (PME) anteriores à 5.0.2, atualize para a versão 5.0.2 ou posterior. Para versões do Akkadian OVA appliance anteriores à 3.0, atualize para a versão 3.0 ou posterior. Para versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0, atualize para a versão 3.3.0.314-4a349e0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Akkadian Provisioning Manager Engine (PME) anteriores à 5.0.2 Versões do dispositivo Akkadian OVA anteriores à 3.0 Versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0 **Descrição** O shell restrito fornecido pelo Akkadian Provisioning Manager Engine (PME) pode ser contornado através do uso indevido do comando ‘Edit MySQL Configuration’, que inicia uma interface padrão do editor vi, da qual é possível escapar. **Recomendações** Para versões do Akkadian Provisioning Manager Engine (PME) anteriores à 5.0.2, atualize para a versão 5.0.2 ou posterior. Para versões do dispositivo Akkadian OVA anteriores à 3.0, atualize para a versão 3.0 ou posterior. Para versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0, atualize para a versão 3.3.0.314-4a349e0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Akkadian Provisioning Manager Engine anteriores à 5.0.2 Versões do dispositivo Akkadian OVA anteriores à 3.0 Versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0 **Descrição** A vulnerabilidade permite que um invasor contorne o shell restrito fornecido pelo Akkadian Provisioning Manager Engine, alterando o canal do OpenSSH de `shell` para `exec` e fornecendo um único parâmetro de execução. Isso poderia permitir que um invasor remoto comprometesse a confidencialidade, integridade e disponibilidade das informações protegidas. **Recomendações** Para versões do Akkadian Provisioning Manager Engine anteriores à 5.0.2, atualize para a versão 5.0.2 ou posterior. Para versões do dispositivo Akkadian OVA anteriores à 3.0, atualize para a versão 3.0 ou posterior. Para versões do Akkadian Appliance Manager anteriores à 3.3.0.314-4a349e0, atualize para a versão 3.3.0.314-4a349e0 ou posterior.