Katalog CVE

CVE-2026-42840

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 - wyżej niż 15% wszystkich znanych CVE

Streszczenie

Użytkownik z autoryzacją może wprowadzić dowolny kod HTML/JavaScript w polach email_id lub mobile_no rekordu klienta, co prowadzi do niebezpiecznego renderowania w interfejsie Punktu Sprzedaży (POS) dla każdego operatora, który wybierze tego klienta. Problem dotyczy wersji ERPNext: 16.16.0.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa danych klientów oraz integralności systemu.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji ERPNext, aby usunąć tę podatność. Dodatkowo, warto wprowadzić walidację danych wejściowych w polach email_id i mobile_no, aby zapobiec wstrzykiwaniu złośliwego kodu.

Oryginalny opis (angielski, źródło NVD)

An authenticated user can persist arbitrary HTML/JavaScript in the email_id or mobile_no fields of a Customer record and trigger unescaped rendering in the Point of Sale (POS) interface for every operator who selects that customer. This issue affects ERPNext: 16.16.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS