CVE-2018-25392
WysokieStreszczenie
Oprogramowanie MaxOn ERP w wersjach 8.x-9.x zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych zapytań SQL poprzez parametry nomor, user i jenis w funkcji log_activity. Atakujący mogą wysyłać żądania POST do /index.php/user/log_activity z złośliwym kodem SQL w tych parametrach.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych informacji z bazy danych, takich jak wersje i nazwy baz danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania MaxOn ERP do najnowszej wersji, która eliminuje tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do funkcji log_activity.
Oryginalny opis (angielski, źródło NVD)
MaxOn ERP Software 8.x-9.x contains an SQL injection vulnerability that allows authenticated users to execute arbitrary SQL queries through the nomor, user, and jenis parameters in the log_activity function. Attackers can send POST requests to /index.php/user/log_activity with malicious SQL code in these parameters to extract sensitive database information including version and database names.

