Umran Yildirimkaya

**Nome do software vulnerável e versões afetadas** ERPNext versão 11.1.47 **Descrição** A vulnerabilidade permite um ataque XSS refletido por meio do PATH INFO na URI “addresses/”. Isso significa que um invasor pode criar uma URL maliciosa que, quando acessada por um usuário, pode executar código JavaScript arbitrário no navegador do usuário, levando potencialmente a ações não autorizadas ou roubo de dados. **Recomendações** Para a versão 11.1.47 do ERPNext, considere restringir o acesso à URI “addresses/” até que uma correção esteja disponível. Como solução temporária, evite usar o PATH INFO para a URI “addresses/” a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ERPNext versão 11.1.47 **Descrição** A vulnerabilidade permite um ataque XSS refletido por meio do PATH INFO na URI `contact/`. Isso pode levar à execução de scripts maliciosos no lado do cliente. **Recomendações** Para a versão 11.1.47 do ERPNext, como solução temporária, considere restringir o acesso à URI `contact/` até que uma correção esteja disponível. Evite usar o PATH INFO para a URI `contact/` nos pontos de extremidade da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.