CVE-2026-38431
KrytyczneStreszczenie
ERPNext w wersji 15.103.1 i wcześniejszych jest podatny na wstrzykiwanie szablonów po stronie serwera (SSTI). Atakujący z uprawnieniami do tworzenia lub edytowania szablonów e-mail może wstrzykiwać wyrażenia szablonów, które są wykonywane na serwerze podczas renderowania szablonu.
Ocena ryzyka
Podatność ta może prowadzić do wykonania nieautoryzowanego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Rekomendacja
Zaleca się aktualizację ERPNext do najnowszej wersji oraz ograniczenie uprawnień użytkowników do edytowania szablonów e-mail tylko do zaufanych osób.
Oryginalny opis (angielski, źródło NVD)
ERPNext v15.103.1 and before is vulnerable to Server-Side Template Injection (SSTI). An attacker with permission to create or edit email templates can inject template expressions that are executed on the server when the template is rendered.

