CRITICAL🇬🇧 English

CVE-2025-0585

SQL Injection w Aenrich A+HRD — nieuwierzytelniony zdalny dostęp do bazy danych

CVSS 9.8v3.1pub. 2025-01-20upd. 2025-11-17

Aplikacja A+HRD firmy aEnrich Technology zawiera krytyczną podatność SQL Injection, umożliwiającą nieuwierzytelnionym atakującym zdalny dostęp do bazy danych. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.

Pokaż oryginał (EN)

The a+HRD from aEnrich Technology has a SQL Injection vulnerability, allowing unauthenticated remote attackers to inject arbitrary SQL commands to read, modify, and delete database contents.

🤖 Analiza AI
Jak działa

Atakujący może wstrzyknąć dowolne polecenia SQL bezpośrednio do zapytań wykonywanych przez aplikację, wysyłając odpowiednio spreparowane żądania do zdalnego systemu. Aplikacja nie przeprowadza wystarczającej walidacji ani sanityzacji danych wejściowych przed ich przekazaniem do silnika bazy danych. W rezultacie złośliwe polecenia SQL są wykonywane z uprawnieniami konta bazodanowego używanego przez aplikację.

Skutki

Atakujący może odczytywać, modyfikować oraz usuwać zawartość bazy danych systemu kadrowo-płacowego, co może prowadzić do wycieku wrażliwych danych pracowniczych, naruszenia integralności danych oraz całkowitego zniszczenia zasobów bazy danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT: https://www.twcert.org.tw/en/cp-139-8373-91edc-2.html. Dodatkowo zaleca się ograniczenie dostępu sieciowego do aplikacji wyłącznie do zaufanych adresów IP oraz wdrożenie reguł firewall blokujących nieautoryzowany dostęp z sieci zewnętrznych.

Kogo dotyczy

Aplikacja A+HRD firmy aEnrich Technology — konkretne wersje wskazane w referencjach producenta (TWCERT)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Aenrich A\+hrd

    APP
    Aenrich
    ≤ 7.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-12870CRITICAL9.3PL ✓ten sam produkt

Authentication Abuse w aEnrich a+HRD — przejęcie tokenu administratora

CVE-2025-12871CRITICAL9.3PL ✓ten sam produkt

Aenrich A+HRD – obejście uwierzytelnienia przez fałszywe tokeny administratora

CVE-2023-20852CRITICAL9.8ten sam produkt

aEnrich Technology a+HRD has a vulnerability of Deserialization of Untrusted Data within its MSMQ interpreter....

CVE-2023-20853CRITICAL9.8ten sam produkt

aEnrich Technology a+HRD has a vulnerability of Deserialization of Untrusted Data within its MSMQ asynchronize...

CVE-2022-39041CRITICAL9.8ten sam produkt

aEnrich a+HRD has insufficient user input validation for specific API parameter. An unauthenticated remote att...