您好！

永信至诚报送1个漏洞预警Maxon ERP 存在SQL注入漏洞-CVE-2022-3878（CNNVD-202211-2202）。

1、产品描述

Maxon ERP是Maxon ERP公司的一个 ERP 软件。

2、影响产品或组件及版本

Maxon ERP <= V1.0

3、受影响资产情况

根据资产测绘系统fofa发现，第一名美国，第二名中国，第三名德国。

4、危害等级

高危

5、技术细节表述

在Maxon ERP中发现了分类为关键的漏洞。这会影响file/index.php/purchase_order/browse_data的未知部分。参数的操作TB_SEARZERCH会导致SQL注入。可以远程发动攻击。该漏洞已被披露给公众.攻击者可以利用该漏洞执行任意 SQL 语句，如查询数据、下载数据、写入 webshell、执行系统命令以及绕过登录限制等, SQL 注入漏洞允许攻击者通过操纵用户输入来更改后端 SQL 语句。当 web 应用程序接受直接放入 SQL 语句的用户输入，并且没有正确过滤掉危险字符时，就会发生 SQL 注入。

6、修补措施

官方已经发布安全补丁，请受影响的用户尽快升级安装：http://www.maxonerp.com/

7、漏洞来源

https://nvd.nist.gov/vuln/detail/CVE-2022-3878