Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Times Software E-Payroll i koordynował proces ujawniania informacji.
Podatność CVE-2025-9977: Wartość przekazana w jednym z parametrów POST wysyłanych podczas procesu logowania do Times Software E-Payroll nie jest odpowiednio neutralizowana, co umożliwia nieautoryzowanemu atakującemu przeprowadzenie ataku typu DoS oraz, potencjalnie, ataków typu SQL Injection. Dodatkowo, próby wstrzyknięcia komend powodują, iż aplikacja zwraca obszerne komunikaty o błędach, ujawniające pewne informacje o wewnętrznej infrastrukturze.
Status wdrożenia poprawek jest nieznany, ponieważ dostawca nie odpowiedział na nasze wiadomości.
Podziękowania
Za zgłoszenie podatności dziękujemy Sebastianowi Jeżowi.
