CVE-2026-42839
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 - wyżej niż 17% wszystkich znanych CVE
Streszczenie
Użytkownik ERPNext z uprawnieniami do edycji rekordów przedmiotów może wprowadzać dowolny kod HTML/JavaScript w polach item_name, description lub image. To prowadzi do niebezpiecznego renderowania w interfejsie koszyka w Punkcie Sprzedaży (POS) dla każdego operatora, który doda ten przedmiot do transakcji.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa systemu ERPNext oraz jego użytkowników.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji ERPNext, aby usunąć tę podatność. Dodatkowo, należy ograniczyć uprawnienia edycyjne dla użytkowników, aby zminimalizować ryzyko wstrzykiwania złośliwego kodu.
Oryginalny opis (angielski, źródło NVD)
An authenticated ERPNext user with Item record edit permissions can persist arbitrary HTML/JavaScript in the item_name, description, or image fields of an Item and trigger unescaped rendering in the Point of Sale (POS) cart interface for every operator who adds that item to a transaction.This issue affects ERPNext: 16.16.0.

