SQL Injection w Simple.ERP (CVE-2026-1198)

26 lutego 2026 roku opublikowano informacje o podatności w oprogramowaniu Simple.ERP ^{1 2}. Problem, zidentyfikowany jako CVE (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki) 2026-1198, dotyczy popularnego w Polsce systemu klasy ERP (Enterprise Resource Planning — oprogramowanie do zarządzania zasobami przedsiębiorstwa). Producentem jest polska firma Simple SA ^{3 4 5}. Podatność pozwala uwierzytelnionemu użytkownikowi na wykonanie dowolnych zapytań do bazy danych, co może prowadzić do odczytu lub modyfikacji wrażliwych danych firmowych ^{6 7}.

TL;DR

• Produkt: Simple.ERP od polskiego producenta Simple SA ^{3 4}.
• Podatność: CVE-2026-1198, SQL Injection (CWE-89) ⁸.
• Wektor: Uwierzytelniony użytkownik może wykonać dowolny kod SQL przez okno wyszukiwania „Obroty na kontach” ^{9 10}.
• Zagrożenie: Odczyt i modyfikacja wrażliwych danych, w tym finansowych i informacji o klientach ^{7 11 12}.
• Dotyczy: Wszystkie wersje Simple.ERP poniżej 6.30@A04.4_u06 ^{13 14}.
• Reakcja: Natychmiastowa aktualizacja do wersji 6.30@A04.4_u06 lub nowszej ^{15 16}.
• Koordynacja: Proces ujawnienia był koordynowany przez CERT Polska ¹⁷.

Wektor ataku

Podatność oznaczona jako CVE-2026-1198 to klasyczny przypadek SQL Injection, sklasyfikowany jako CWE-89 (Improper Neutralization of Special Elements used in an SQL Command) ⁸. Atak tego typu polega na wstrzyknięciu fragmentu kodu SQL (Structured Query Language) do zapytania wysyłanego do bazy danych. W rezultacie serwer wykonuje polecenia napastnika, zamiast oryginalnego, zamierzonego zapytania.

W przypadku Simple.ERP, słaby punkt znajduje się w funkcjonalności wyszukiwania w oknie „Obroty na kontach” ^{9 10 18 19}. Aplikacja nie przeprowadza wystarczającej walidacji danych wprowadzanych przez użytkownika w polach wyszukiwania ^{6 20 21}. Pozwala to uwierzytelnionemu atakującemu, nawet z niskimi uprawnieniami, na spreparowanie złośliwego zapytania, które zostanie wykonane przez bazę danych ²².

Skutkiem jest wykonanie dowolnych poleceń w kontekście bazy danych systemu ERP ^{6 20}. Może to prowadzić do nieautoryzowanego dostępu do danych, ich modyfikacji, a nawet usunięcia ^{7 12}. W kontekście systemu do zarządzania przedsiębiorstwem mówimy o danych o najwyższej wrażliwości: informacjach finansowych, danych kontrahentów, tajemnicach handlowych ¹¹.

Analiza wektora w skali CVSS (Common Vulnerability Scoring System — system oceny powagi luki) 4.0 wskazuje na następujące cechy ²³:

• Wektor ataku: Sieciowy (AV:N). Atak może być przeprowadzony zdalnie, przez sieć ²⁴.
• Złożoność ataku: Niska (AC:L). Wykorzystanie luki nie wymaga skomplikowanych technik.
• Wymagane uprawnienia: Niskie (PR:L). Atakujący musi być uwierzytelniony w systemie, ale wystarczą mu niskie uprawnienia ²².
• Interakcja użytkownika: Niewymagana (UI:N). Atak nie wymaga żadnej akcji ze strony innego użytkownika ²⁴.
• Wpływ na poufność i integralność: Wysoki (VC:H, VI:H). Atakujący może zarówno odczytać wszystkie dane w bazie, jak i je zmodyfikować ²³.

Wskaźniki kompromitacji

Na chwilę obecną nie są znane publiczne exploity ani aktywne kampanie wykorzystujące tę podatność ²⁵. Nie istnieją więc gotowe wskaźniki kompromitacji (IoC — Indicators of Compromise), takie jak hashe plików czy adresy IP serwerów C2 (Command and Control).

Zespoły SOC (Security Operations Center — centrum operacji bezpieczeństwa) powinny jednak proaktywnie przeszukać logi bazodanowe pod kątem nietypowych lub złożonych zapytań SQL. Szczególną uwagę należy zwrócić na zapytania pochodzące z modułu „Obroty na kontach”, które zawierają charakterystyczne dla ataków SQL Injection komendy, takie jak UNION SELECT, SLEEP, komentarze SQL (--, #) lub wywołania funkcji systemowych.

Co zrobić w 24-48h

Zalecamy podjęcie natychmiastowych działań w celu mitygacji ryzyka.

1. Natychmiastowa aktualizacja. Producent, Simple SA, udostępnił poprawioną wersję oprogramowania oznaczoną jako 6.30@A04.4_u06 ^{15 26 16}. Wszystkie wersje poniżej tej są podatne ^{13 14}. Aktualizacja jest jedynym skutecznym sposobem na usunięcie zagrożenia. Należy skontaktować się z dostawcą lub partnerem wdrożeniowym w celu jej przeprowadzenia.

2. Ograniczenie dostępu (środek tymczasowy). Jeśli natychmiastowa aktualizacja jest niemożliwa, rekomendowanym podejściem jest czasowe ograniczenie dostępu do modułu „Obroty na kontach”. Dostęp powinien być ograniczony wyłącznie do minimalnej liczby zaufanych, zweryfikowanych użytkowników. To nie eliminuje podatności, ale znacząco zawęża powierzchnię ataku.

3. Przegląd logów. Należy przeanalizować logi dostępu do aplikacji oraz logi bazy danych w poszukiwaniu śladów potencjalnego wykorzystania luki przed instalacją poprawki. Poszukiwać należy prób logowania z nietypowych lokalizacji oraz anomalii w zapytaniach SQL, jak opisano w poprzedniej sekcji.

4. Weryfikacja uprawnień użytkowników. Podatność wymaga uwierzytelnienia. To dobry moment na przeprowadzenie audytu kont użytkowników w systemie Simple.ERP. Należy usunąć nieużywane konta i zweryfikować, czy przypisane uprawnienia są zgodne z zasadą minimalnego dostępu.

Dla polskich firm, których działalność opiera się na systemie Simple.ERP, ta podatność stanowi bezpośrednie zagrożenie dla ciągłości działania i bezpieczeństwa danych. Zgodnie z RODO (Rozporządzenie o Ochronie Danych Osobowych) potencjalny wyciek danych klientów może wiązać się z poważnymi konsekwencjami prawnymi i finansowymi. Cały proces ujawnienia podatności był koordynowany przez CERT Polska, co podkreśla powagę sytuacji na rynku lokalnym ^{27 17}.

Powyższe rekomendacje stanowią sugerowane podejście i nie zastępują profesjonalnej konsultacji z zakresu bezpieczeństwa IT. Każda organizacja powinna ocenić ryzyko w kontekście własnego środowiska.

Źródła

Zobacz też

• CVE-2025-12465: Blind SQL Injection w systemie QuickCMS
• PostgreSQL: Luka SQL Injection (CVE-2026-6476) w wersjach 17 i 18
• SQL Injection w SOGo (CVE-2026-8851) pozwala na wyciek danych
• mObywatel na iOS: dane widoczne w App Switcher

Footnotes

1. Podatność CVE-2026-1198 została opublikowana 26 lutego 2026 roku. — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩

2. Podatność CVE-2026-1198 została publicznie ujawniona 26 lutego 2026 roku. — https://www.thehackerwire.com/vulnerability/CVE-2026-1198/ ↩

3. Producentem podatnego oprogramowania jest Simple SA. — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩ ↩²

4. Nazwa podatnego oprogramowania to Simple.ERP. — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩ ↩²

5. Podatność CVE-2026-1198 to SQL Injection w Simple.ERP, produkcie Simple SA. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩

6. Brak walidacji danych wejściowych pozwala uwierzytelnionemu atakującemu wykonywać dowolne kwerendy w języku SQL. — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩ ↩² ↩³

7. Wada umożliwia atakującym manipulowanie zapytaniami do bazy danych, co potencjalnie prowadzi do nieautoryzowanego dostępu do danych, modyfikacji danych lub zakłócenia operacji bazy danych. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩ ↩² ↩³

8. Typ podatności to Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) (CWE-89). — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩ ↩²

9. Podatność CVE-2026-1198 dotyczy ataku typu SQL Injection w funkcjonalności wyszukiwania w oknie „Obroty na kontach” w oprogramowaniu SIMPLE.ERP. — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩ ↩²

10. SIMPLE.ERP jest podatne na SQL Injection w funkcjonalności wyszukiwania w oknie „Obroty na kontach”. — https://nvd.nist.gov/vuln/detail/CVE-2026-1198 ↩ ↩²

11. Wykorzystanie podatności SQL Injection w Simple.ERP może prowadzić do nieautoryzowanego ujawnienia wrażliwych danych biznesowych, w tym danych finansowych i informacji o klientach. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩ ↩²

12. Atakujący mogą również zmieniać lub usuwać krytyczne dane, wpływając na integralność danych i potencjalnie zakłócając operacje biznesowe. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩ ↩²

13. Wszystkie wersje Simple.ERP poniżej 6.30@A04.4_u06 są podatne na atak. — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩ ↩²

14. Dotknięte wersje to te wcześniejsze niż 6.30@A04.4_u06, dla których dostawca wydał poprawkę. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩ ↩²

15. Problem został naprawiony w wersji 6.30@A04.4_u06. — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩ ↩²

16. Ten problem został naprawiony w wersji 6.30@A04.4_u06. — https://www.thehackerwire.com/vulnerability/CVE-2026-1198/ ↩ ↩²

17. CERT Polska koordynował proces ujawniania informacji o podatności. — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩ ↩²

18. SIMPLE.ERP jest podatne na SQL Injection w funkcjonalności wyszukiwania w oknie „Obroty na kontach”. — https://www.thehackerwire.com/vulnerability/CVE-2026-1198/ ↩

19. Podatność istnieje w funkcjonalności wyszukiwania w oknie „Obroty na kontach”, gdzie pola wejściowe niepoprawnie oczyszczają lub neutralizują specjalne elementy SQL. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩

20. Brak walidacji danych wejściowych pozwala uwierzytelnionemu atakującemu przygotować złośliwe zapytanie do bazy danych, które zostanie wykonane. — https://nvd.nist.gov/vuln/detail/CVE-2026-1198 ↩ ↩²

21. Brak walidacji danych wejściowych pozwala uwierzytelnionemu atakującemu przygotować złośliwe zapytanie do bazy danych, które zostanie wykonane. — https://www.thehackerwire.com/vulnerability/CVE-2026-1198/ ↩

22. Niepoprawna neutralizacja (CWE-89) pozwala uwierzytelnionemu atakującemu z niskimi uprawnieniami na tworzenie złośliwych zapytań SQL, które są wykonywane przez bazę danych. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩ ↩²

23. Wektor CVSS 4.0 (AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N) wskazuje na wektor ataku sieciowego, niską złożoność ataku, brak potrzeby interakcji użytkownika oraz wysoki wpływ na poufność i integralność, ale brak wpływu na dostępność. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩ ↩²

24. Podatność nie wymaga interakcji użytkownika i może być wykorzystana zdalnie przez sieć. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩ ↩²

25. Obecnie nie zgłoszono żadnych znanych exploitów w środowisku produkcyjnym. — https://radar.offseq.com/threat/cve-2026-1198-cwe-89-improper-neutralization-of-sp-3b46b959 ↩

26. Ten problem został naprawiony w wersji 6.30@A04.4_u06. — https://nvd.nist.gov/vuln/detail/CVE-2026-1198 ↩

27. Zgłoszenie podatności do CERT Polska było źródłem informacji o problemie. — https://cert.pl/posts/2026/02/CVE-2026-1198/ ↩