Plataforma
other
Componente
my-erp
Corregido en
1.170
Se ha identificado una vulnerabilidad de inyección SQL en MY ERP, afectando a las versiones desde 0 hasta 1.170. Esta falla permite a un atacante inyectar código SQL malicioso en las consultas de la base de datos, lo que podría resultar en la exposición o manipulación de información sensible. La vulnerabilidad ha sido publicada el 19 de junio de 2025 y se recomienda actualizar a la versión 1.170 para corregir el problema.
La inyección SQL en MY ERP representa un riesgo crítico para la seguridad de la información. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a la base de datos, permitiéndole leer, modificar o eliminar datos confidenciales, como información de clientes, transacciones financieras o datos de inventario. Además, podría utilizar la base de datos como punto de partida para realizar ataques a otros sistemas dentro de la red, ampliando el radio de impacto. La severidad de esta vulnerabilidad es comparable a otras inyecciones SQL que han comprometido sistemas ERP en el pasado, permitiendo el robo masivo de datos y la interrupción de las operaciones comerciales.
La vulnerabilidad CVE-2025-4738 ha sido publicada públicamente el 19 de junio de 2025. La probabilidad de explotación es considerada alta debido a la severidad de la vulnerabilidad (CVSS 9.8) y la relativa facilidad con la que se puede explotar la inyección SQL. No se ha confirmado la inclusión en el KEV de CISA, pero dada la criticidad, es probable que sea añadida en el futuro. No se han reportado públicamente pruebas de concepto (PoC) específicas para esta vulnerabilidad, pero la naturaleza común de la inyección SQL sugiere que podrían surgir rápidamente.
Organizations heavily reliant on MY ERP for core business processes, particularly those handling sensitive customer data or financial information, are at significant risk. Companies with legacy MY ERP deployments or those lacking robust security monitoring practices are especially vulnerable.
• other / database: Use native CLI queries to check for SQL injection vulnerabilities.
-- SQL Injection test query
SELECT 'test' FROM users WHERE username = 'admin' OR '1'='1';• generic web: Check for unusual SQL errors in web application logs. Look for patterns like 'syntax error' or 'invalid column name' that might indicate an attempted SQL Injection. • generic web: Monitor access logs for requests containing suspicious characters commonly used in SQL Injection attacks (e.g., ', ", --, /*, */).
disclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-4738 es actualizar MY ERP a la versión 1.170, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización rigurosa de todas las entradas de usuario. Además, se puede considerar la implementación de un Web Application Firewall (WAF) con reglas específicas para detectar y bloquear intentos de inyección SQL. Es crucial revisar la configuración de la base de datos para asegurar que se apliquen los principios de mínimo privilegio y que las cuentas de usuario tengan los permisos necesarios para realizar sus tareas, pero no más. Después de la actualización, confirme la corrección ejecutando pruebas de penetración para verificar que la vulnerabilidad ha sido efectivamente eliminada.
Actualice MY ERP a la versión 1.170 o superior. Esta versión contiene la corrección para la vulnerabilidad de inyección SQL. Consulte el registro de cambios de la aplicación para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-4738 is a critical SQL Injection vulnerability in MY ERP versions 0–1.170, allowing attackers to execute arbitrary SQL commands and potentially access sensitive data.
If you are using MY ERP versions 0 through 1.170, you are affected by this vulnerability. Upgrade to version 1.170 to mitigate the risk.
The recommended fix is to upgrade MY ERP to version 1.170 or later. If immediate upgrade is not possible, implement temporary workarounds like input validation and WAF rules.
While no public exploits are currently available, the high CVSS score and ease of SQL Injection exploitation suggest a high probability of active exploitation.
Refer to the Yirmibes Software security advisories page for the official advisory regarding CVE-2025-4738.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.