CVE-2024-24003
https://notcve.org/view.php?id=CVE-2024-24003
jshERP v3.3 is vulnerable to SQL Injection. The com.jsh.erp.controller.DepotHeadController: com.jsh.erp.utils.BaseResponseInfo findInOutMaterialCount() function of jshERP does not filter `column` and `order` parameters well enough, and an attacker can construct malicious payload to bypass jshERP's protection mechanism in `safeSqlParse` method for sql injection. jshERP v3.3 es vulnerable a la inyección SQL. La función com.jsh.erp.controller.DepotHeadController: com.jsh.erp.utils.BaseResponseInfo findInOutMaterialCount() de jshERP no filtra los parámetros de `column` y `order` lo suficientemente bien, y un atacante puede construir un payload maliciosa para eludir los parámetros de jshERP Mecanismo de protección en el método `safeSqlParse` para inyección SQL. • https://github.com/cxcxcxcxcxcxcxc/cxcxcxcxcxcxcxc/blob/main/cxcxcxcxcxc/about-2024/24003.txt https://github.com/jishenghua/jshERP/issues/99 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2024-24001
https://notcve.org/view.php?id=CVE-2024-24001
jshERP v3.3 is vulnerable to SQL Injection. via the com.jsh.erp.controller.DepotHeadController: com.jsh.erp.utils.BaseResponseInfo findallocationDetail() function of jshERP which allows an attacker to construct malicious payload to bypass jshERP's protection mechanism. jshERP v3.3 es vulnerable a la inyección SQL. a través de la función com.jsh.erp.controller.DepotHeadController: com.jsh.erp.utils.BaseResponseInfo findallocationDetail() de jshERP que permite a un atacante construir un payload malicioso para evitar el mecanismo de protección de jshERP. • https://github.com/cxcxcxcxcxcxcxc/cxcxcxcxcxcxcxc/blob/main/cxcxcxcxcxc/about-2024/24001.txt https://github.com/jishenghua/jshERP/issues/99 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2024-24002
https://notcve.org/view.php?id=CVE-2024-24002
jshERP v3.3 is vulnerable to SQL Injection. The com.jsh.erp.controller.MaterialController: com.jsh.erp.utils.BaseResponseInfo getListWithStock() function of jshERP does not filter `column` and `order` parameters well enough, and an attacker can construct malicious payload to bypass jshERP's protection mechanism in `safeSqlParse` method for sql injection. jshERP v3.3 es vulnerable a la inyección SQL. La función com.jsh.erp.controller.MaterialController: com.jsh.erp.utils.BaseResponseInfo getListWithStock() de jshERP no filtra los parámetros de `columna` y `orden` lo suficientemente bien, y un atacante puede construir un payload malicioso para eludir los de jshERP. Mecanismo de protección en el método `safeSqlParse` para inyección SQL. • https://github.com/cxcxcxcxcxcxcxc/cxcxcxcxcxcxcxc/blob/main/cxcxcxcxcxc/about-2024/24002.txt https://github.com/jishenghua/jshERP/issues/99 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2024-24004
https://notcve.org/view.php?id=CVE-2024-24004
jshERP v3.3 is vulnerable to SQL Injection. The com.jsh.erp.controller.DepotHeadController: com.jsh.erp.utils.BaseResponseInfo findInOutDetail() function of jshERP does not filter `column` and `order` parameters well enough, and an attacker can construct malicious payload to bypass jshERP's protection mechanism in `safeSqlParse` method for sql injection. jshERP v3.3 es vulnerable a la inyección SQL. La función com.jsh.erp.controller.DepotHeadController: com.jsh.erp.utils.BaseResponseInfo findInOutDetail() de jshERP no filtra los parámetros de `columna` y `orden` lo suficientemente bien, y un atacante puede construir un payload malicioso para eludir los parámetros de jshERP Mecanismo de protección en el método `safeSqlParse` para inyección SQL. • https://github.com/cxcxcxcxcxcxcxc/cxcxcxcxcxcxcxc/blob/main/cxcxcxcxcxc/about-2024/24004.txt https://github.com/jishenghua/jshERP/issues/99 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •