Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Simple.ERP i koordynował proces ujawniania informacji.
Podatność CVE-2026-1198: oprogramowanie SIMPLE.ERP jest podatne na atak typu SQL Injection w funkcjonalności wyszukiwania w oknie "Obroty na kontach". Brak walidacji danych wejściowych pozwala uwierzytelnionemu atakującemu wykonywać dowolne kwerendy w języku SQL.
Problem został naprawiony w wersji 6.30@A04.4_u06.
Podziękowania
Za zgłoszenie podatności dziękujemy Kamilowi Dąbkowskiemu.
