Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu SIMPLE.ERP firmy Simple SA i koordynował proces ujawniania informacji.
Podatność CVE-2025-9339: Podatność typu SQL injection w polach formularza filtrowania dokumentów magazynowych w oprogramowaniu SIMPLE.ERP umożliwia zalogowanemu użytkownikowi wstrzyknięcie zapytania o długości do 20 znaków. Zidentyfikowany przypadek użycia pozwala na usuwanie tabel o nazwie składającej się maksymalnie z 6 znaków. Nie znaleziono sposobu na odczytanie danych w ramach dostępnego limitu znaków kwerendy.
Problem ten dotyczy wersji SIMPLE.ERP wcześniejszych niż 6.30@a04.3.
Podziękowania
Za zgłoszenie podatności dziękujemy Kamilowi Dąbkowskiemu.
