CVE-2018-25392
HighSummary
Oprogramowanie MaxOn ERP w wersjach 8.x-9.x zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych zapytań SQL poprzez parametry nomor, user i jenis w funkcji log_activity. Atakujący mogą wysyłać żądania POST do /index.php/user/log_activity z złośliwym kodem SQL w tych parametrach.
Risk Assessment
Podatność ta może prowadzić do ujawnienia wrażliwych informacji z bazy danych, takich jak wersje i nazwy baz danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację oprogramowania MaxOn ERP do najnowszej wersji, która eliminuje tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do funkcji log_activity.
Original NVD description (English source)
MaxOn ERP Software 8.x-9.x contains an SQL injection vulnerability that allows authenticated users to execute arbitrary SQL queries through the nomor, user, and jenis parameters in the log_activity function. Attackers can send POST requests to /index.php/user/log_activity with malicious SQL code in these parameters to extract sensitive database information including version and database names.

