Katalog CVE

CVE-2026-38431

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

ERPNext w wersji 15.103.1 i wcześniejszych jest podatny na wstrzykiwanie szablonów po stronie serwera (SSTI). Atakujący z uprawnieniami do tworzenia lub edytowania szablonów e-mail może wstrzykiwać wyrażenia szablonów, które są wykonywane na serwerze podczas renderowania szablonu.

Ocena ryzyka

Podatność ta może prowadzić do wykonania nieautoryzowanego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.

Rekomendacja

Zaleca się aktualizację ERPNext do najnowszej wersji oraz ograniczenie uprawnień użytkowników do edytowania szablonów e-mail tylko do zaufanych osób.

Oryginalny opis (angielski, źródło NVD)

ERPNext v15.103.1 and before is vulnerable to Server-Side Template Injection (SSTI). An attacker with permission to create or edit email templates can inject template expressions that are executed on the server when the template is rendered.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS