PT-2025-42887 · Unknown · Simple.Erp
Kamil Dąbkowski
·
Publicado
2025-10-21
·
Atualizado
2025-10-21
·
CVE-2025-9339
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do SIMPLE.ERP anteriores a 6.30@a04.3
Descrição
Existe uma vulnerabilidade de injeção de SQL no formulário de filtragem de documentos de armazém do software SIMPLE.ERP. Um usuário autenticado pode enviar um payload de até 20 caracteres. Um caso de uso confirmado permite a exclusão de tabelas com nomes de até 6 caracteres de comprimento. A exfiltração de dados dentro do limite de caracteres da consulta não foi possível.
Recomendações
Atualize o SIMPLE.ERP para a versão 6.30@a04.3 ou posterior.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Simple.Erp