Er is een kritieke kwetsbaarheid ontdekt in Bjskzy Zhiyou ERP tot versie 11.0, waardoor SQL-injectie mogelijk wordt. Deze zwakke plek bevindt zich in de functie getFieldValue van de component com.artery.workflow.ServiceImpl. Aanvallers kunnen deze kwetsbaarheid op afstand misbruiken zonder dat gebruikersinteractie vereist is.
De impact van deze kwetsbaarheid is aanzienlijk. Aanvallers kunnen potentiële toegang krijgen tot gevoelige gegevens binnen het systeem, wat kan leiden tot gegevensverlies of -manipulatie.
Overzicht
Deze kwetsbaarheid is aangeduid met CVE-2025-9391 en maakt gebruik van een bekende zwakke plek, namelijk SQL-injectie. De basis ernst van de kwetsbaarheid volgens het CVSS 3.1-scoresysteem is 6,3, wat duidt op een matige dreiging.
Aanbevelingen
- Contacteer de softwareleverancier voor een mogelijke patch of beveiligingsupdate om de kwetsbaarheid te verhelpen.
- Monitor uw systemen op verdachte activiteiten en pas indien mogelijk een Web Application Firewall (WAF) toe als tijdelijke maatregel.
