Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu SIMPLE.ERP
21 października 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-9339
Data publikacji 21 października 2025
Producent podatnego oprogramowania Simple SA
Nazwa podatnego oprogramowania SIMPLE.ERP
Podatne wersje Wszystkie poniżej [email protected]
Typ podatności (CWE) Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu SIMPLE.ERP firmy Simple SA i koordynował proces ujawniania informacji.

Podatność CVE-2025-9339: Podatność typu SQL injection w polach formularza filtrowania dokumentów magazynowych w oprogramowaniu SIMPLE.ERP umożliwia zalogowanemu użytkownikowi wstrzyknięcie złośliwego zapytania. Zakres potencjalnego wykorzystania jest ograniczony limitem 20 znaków w polach formularza. Zidentyfikowany przypadek użycia pozwala na usuwanie tabel o nazwie składającej się maksymalnie z 6 znaków. Nie znaleziono sposobu na odczytanie danych w ramach dostępnego limitu znaków.

Problem ten dotyczy wersji SIMPLE.ERP wcześniejszych niż [email protected].

Podziękowania

Za zgłoszenie podatności dziękujemy Kamilowi Dąbkowskiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.