一、 漏洞 CVE-2025-9339 基础信息
漏洞信息
# SIMPLE.ERP SQL注入漏洞
## 概述
SIMPLE.ERP 的仓库文档过滤表单字段中存在 SQL 注入漏洞。
## 影响版本
该问题影响版本低于 6.30@a04.3 的 SIMPLE.ERP 软件。
## 漏洞细节
漏洞存在于仓库文档过滤表单的字段中,允许已登录用户最多发送 20 字符的 SQL 注入载荷。
- 登录用户可构建恶意 SQL 语句。
- 载荷字符长度限制为 20。
- 可删除长度不超过 6 个字符的表名。
## 影响
攻击者可利用此漏洞执行恶意 SQL 命令,删除数据库中表名长度不超过 6 的表。
- **删除风险**:可导致关键业务数据被清除。
- **数据泄露风险**:受限于 20 字符长度,目前无法确认是否能实现数据窃取。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SQL Injection in SIMPLE.ERP
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SQL injection vulnerability in the fields of warehouse document filtering form in SIMPLE.ERP software allows logged-in user a malicious query injection. Potential exploitation is limited by the 20-character limit in form fields. Identified use case allows to delete tables with a name of maximum 6 characters. We weren't able to identify a way to exfiltrate data within query character limit.
This issue affects SIMPLE.ERP in versions before 6.30@a04.3.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
SIMPLE.ERP SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SIMPLE.ERP是SIMPLE公司的一个电子商务平台。 SIMPLE.ERP 6.30@a04.3之前版本存在SQL注入漏洞,该漏洞源于仓库文档过滤表单存在SQL注入漏洞,可能导致表删除。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-9339 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-9339 的情报信息
-
-
标题: SIMPLE S.A. - nowoczesne systemy ERP, HCM, CRM, BI! / Produkty / SIMPLE.ERP / Dla kogo? -- 🔗来源链接
标签: product
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-9339
四、漏洞 CVE-2025-9339 的评论
暂无评论