CVE-2026-42840
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
Użytkownik z autoryzacją może wprowadzić dowolny kod HTML/JavaScript w polach email_id lub mobile_no rekordu klienta, co prowadzi do niebezpiecznego renderowania w interfejsie Punktu Sprzedaży (POS) dla każdego operatora, który wybierze tego klienta. Problem dotyczy wersji ERPNext: 16.16.0.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników. To stwarza poważne zagrożenie dla bezpieczeństwa danych klientów oraz integralności systemu.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji ERPNext, aby usunąć tę podatność. Dodatkowo, warto wprowadzić walidację danych wejściowych w polach email_id i mobile_no, aby zapobiec wstrzykiwaniu złośliwego kodu.
Oryginalny opis (angielski, źródło NVD)
An authenticated user can persist arbitrary HTML/JavaScript in the email_id or mobile_no fields of a Customer record and trigger unescaped rendering in the Point of Sale (POS) interface for every operator who selects that customer. This issue affects ERPNext: 16.16.0.

