CVE-2026-42840
MediumCVSS 5.1Exploitation Probability (EPSS)
Low risk15th percentile - higher than 15% of all known CVEs
Summary
Użytkownik z autoryzacją może wprowadzić dowolny kod HTML/JavaScript w polach email_id lub mobile_no rekordu klienta, co prowadzi do niebezpiecznego renderowania w interfejsie Punktu Sprzedaży (POS) dla każdego operatora, który wybierze tego klienta. Problem dotyczy wersji ERPNext: 16.16.0.
Risk Assessment
Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa danych klientów oraz integralności systemu.
Recommendation
Zaleca się aktualizację do najnowszej wersji ERPNext, aby usunąć tę podatność. Dodatkowo, warto wprowadzić walidację danych wejściowych w polach email_id i mobile_no, aby zapobiec wstrzykiwaniu złośliwego kodu.
Original NVD description (English source)
An authenticated user can persist arbitrary HTML/JavaScript in the email_id or mobile_no fields of a Customer record and trigger unescaped rendering in the Point of Sale (POS) interface for every operator who selects that customer. This issue affects ERPNext: 16.16.0.

