Kamil Dąbkowski

**Name of the Vulnerable Software and Affected Versions** Streamsoft Prestiż versions prior to 20.0.380.92 **Description** The software uses a custom token encoding algorithm that allows an attacker to guess the value of the KSeF (Krajowy System e-Faktur) token by analyzing how tokens with known values are encoded. The KSeF is a national system for electronic invoicing. **Recommendations** Update Streamsoft Prestiż to version 20.0.380.92 or later.

**Name of the Vulnerable Software and Affected Versions** SIMPLE.ERP versions prior to 6.30@A04.4 u06 **Description** SIMPLE.ERP is susceptible to a SQL Injection issue within the search functionality of the "Obroty na kontach" window. Insufficient input validation permits an authenticated attacker to construct a malicious database query, leading to its execution. The vulnerable functionality lacks proper sanitization of user-supplied input, allowing for the injection of arbitrary SQL code. The `search` function is affected. The vulnerable parameter is not specified. **Recommendations** Update to version 6.30@A04.4 u06 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do SIMPLE.ERP anteriores a 6.30@a04.3 **Descrição** Existe uma vulnerabilidade de injeção de SQL no formulário de filtragem de documentos de armazém do software SIMPLE.ERP. Um usuário autenticado pode enviar um payload de até 20 caracteres. Um caso de uso confirmado permite a exclusão de tabelas com nomes de até 6 caracteres de comprimento. A exfiltração de dados dentro do limite de caracteres da consulta não foi possível. **Recomendações** Atualize o SIMPLE.ERP para a versão 6.30@a04.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Streamsoft Prestiż anteriores à 18.1.376.37 **Descrição** O problema está relacionado à sanitização inadequada de entrada em múltiplos campos no Streamsoft Prestiż, resultando em uma vulnerabilidade de injeção de SQL. Esta vulnerabilidade pode ser explorada por um atacante remoto autenticado. **Recomendações** Para versões anteriores à 18.1.376.37, atualize para a versão 18.1.376.37 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a dados sensíveis e implementar medidas de segurança adicionais para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Streamsoft Prestiż anteriores à 18.2.377 **Descrição** O problema envolve o uso de um algoritmo próprio de codificação de senhas no software, o que permite a decodificação direta das senhas utilizando suas formas codificadas armazenadas no banco de dados da aplicação. Um atacante precisaria conhecer o algoritmo de codificação, mas ele pode ser deduzido observando como as senhas são transformadas. **Recomendações** Para versões anteriores à 18.2.377, atualize para a versão 18.2.377 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao banco de dados onde as senhas codificadas são armazenadas para minimizar o risco de exploração.