CVE-2024-13979

Nome do Software Vulnerável e Versões Afetadas: Sistema ERP St. Joe (versões afetadas não especificadas)

Descrição: Existe uma vulnerabilidade de injeção SQL no sistema ERP St. Joe ("圣乔 ERP 系统") que permite a atacantes remotos não autenticados executar comandos SQL arbitrários por meio de requisições HTTP POST manipuladas ao endpoint /login. A aplicação não sanitiza adequadamente a entrada fornecida pelo usuário antes de incorporá-la às consultas SQL, permitindo a manipulação direta do banco de dados de backend. A exploração bem-sucedida pode resultar em acesso não autorizado a dados, modificação de registros ou interrupção limitada do serviço. A Shadowserver Foundation observou pela primeira vez evidências de exploração em 14/04/2025 UTC.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.