MaxOn ERP Software 8.x-9.x contains an SQL injection vulnerability that allows authenticated users to execute arbitrary SQL queries through the nomor, user, and jenis parameters in the log_activity function. Attackers can send POST requests to /index.php/user/log_activity with malicious SQL code in these parameters to extract sensitive database information including version and database names.
MaxOn ERP Software versions 8.x-9.x contains an SQL injection vulnerability in the log_activity function that allows authenticated users to execute arbitrary SQL queries. Attackers can extract sensitive database information by sending malicious POST requests with crafted parameters.
يؤثر هذا الضعف على برنامج MaxOn ERP المستخدم في إدارة الموارد والعمليات التجارية. يمكن للمستخدمين المصرحين استغلال الثغرة من خلال معاملات nomor و user و jenis في دالة log_activity. يسمح الاستغلال بالوصول غير المصرح إلى بيانات حساسة وتعديل سجلات قاعدة البيانات.
برنامج MaxOn ERP الإصدارات 8.x-9.x يحتوي على ثغرة حقن SQL في دالة log_activity تسمح للمستخدمين المصرحين بتنفيذ استعلامات SQL عشوائية. يمكن للمهاجمين استخراج معلومات حساسة من قاعدة البيانات من خلال إرسال طلبات POST خبيثة.
Upgrade MaxOn ERP Software to version 10.0 or later. Implement input validation and parameterized queries for all database operations. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Restrict database user permissions to minimum required privileges. Monitor and audit all database access logs for suspicious activities.
قم بترقية برنامج MaxOn ERP إلى الإصدار 10.0 أو أحدث. قم بتطبيق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات قاعدة البيانات. طبق قواعد جدار حماية تطبيقات الويب للكشف عن محاولات حقن SQL. قيد صلاحيات مستخدم قاعدة البيانات بأقل الامتيازات المطلوبة. راقب وتدقيق جميع سجلات الوصول إلى قاعدة البيانات.