CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25392

High
Published: Translated: NVD NIST

Summary

Oprogramowanie MaxOn ERP w wersjach 8.x-9.x zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych zapytań SQL poprzez parametry nomor, user i jenis w funkcji log_activity. Atakujący mogą wysyłać żądania POST do /index.php/user/log_activity z złośliwym kodem SQL w tych parametrach.

Risk Assessment

Podatność ta może prowadzić do ujawnienia wrażliwych informacji z bazy danych, takich jak wersje i nazwy baz danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację oprogramowania MaxOn ERP do najnowszej wersji, która eliminuje tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do funkcji log_activity.

Original NVD description (English source)

MaxOn ERP Software 8.x-9.x contains an SQL injection vulnerability that allows authenticated users to execute arbitrary SQL queries through the nomor, user, and jenis parameters in the log_activity function. Attackers can send POST requests to /index.php/user/log_activity with malicious SQL code in these parameters to extract sensitive database information including version and database names.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS