SIMPLE.ERP уязвим к функции SQL-инъекции в поиске в окне «Обрати на контач». Отсутствие проверки входных данных позволяет аутентифицированному злоумышленнику подготовить вредоносный запрос к базе данных, который будет выполнен.
Эта проблема была исправлена в версии 6.30@A04.4_u06.
Показать оригинальное описание (EN)
SIMPLE.ERP is vulnerable to the SQL Injection in search functionality in "Obroty na kontach" window. Lack of input validation allows an authenticated attacker to prepare a malicious query to the database that will be executed. This issue was fixed in 6.30@A04.4_u06.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0