CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-42840

MediumCVSS 5.1
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.24%

15th percentile - higher than 15% of all known CVEs

Summary

Użytkownik z autoryzacją może wprowadzić dowolny kod HTML/JavaScript w polach email_id lub mobile_no rekordu klienta, co prowadzi do niebezpiecznego renderowania w interfejsie Punktu Sprzedaży (POS) dla każdego operatora, który wybierze tego klienta. Problem dotyczy wersji ERPNext: 16.16.0.

Risk Assessment

Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa danych klientów oraz integralności systemu.

Recommendation

Zaleca się aktualizację do najnowszej wersji ERPNext, aby usunąć tę podatność. Dodatkowo, warto wprowadzić walidację danych wejściowych w polach email_id i mobile_no, aby zapobiec wstrzykiwaniu złośliwego kodu.

Original NVD description (English source)

An authenticated user can persist arbitrary HTML/JavaScript in the email_id or mobile_no fields of a Customer record and trigger unescaped rendering in the Point of Sale (POS) interface for every operator who selects that customer. This issue affects ERPNext: 16.16.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS