Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu Times Software E-Payroll
18 listopada 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-9977
Data publikacji 18 listopada 2025
Producent podatnego oprogramowania Times Software
Nazwa podatnego oprogramowania E-Payroll
Podatne wersje Do 20250121.0 włącznie (oraz prawdopodobnie wyższe)
Typ podatności (CWE) Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Times Software E-Payroll i koordynował proces ujawniania informacji.

Podatność CVE-2025-9977: Wartość przekazana w jednym z parametrów POST wysyłanych podczas procesu logowania do Times Software E-Payroll nie jest odpowiednio neutralizowana, co umożliwia nieautoryzowanemu atakującemu przeprowadzenie ataku typu DoS oraz, potencjalnie, ataków typu SQL Injection. Dodatkowo, próby wstrzyknięcia komend powodują, że aplikacja zwraca obszerne komunikaty o błędach, ujawniające pewne informacje o wewnętrznej infrastrukturze.

Status wdrożenia poprawek jest nieznany, ponieważ dostawca nie odpowiedział na nasze wiadomości.

Podziękowania

Za zgłoszenie podatności dziękujemy Sebastianowi Jeżowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.