PT-2025-19726 · Erpnext · Erpnext
Thvt0Ne
·
Publicado
2025-05-05
·
Atualizado
2025-05-05
·
CVE-2025-28062
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do ERPNEXT 14.74.3 até 14.82.1
Descrição
Foi descoberta uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF), permitindo que um invasor execute ações não autorizadas, como exclusão de usuários, redefinição de senhas e escalonamento de privilégios, devido à falta de proteções CSRF.
Recomendações
Para a versão 14.74.3 do ERPNEXT, atualize para uma versão que inclua proteções CSRF para prevenir ações não autorizadas.
Para a versão 14.82.1 do ERPNEXT, atualize para uma versão que inclua proteções CSRF para prevenir ações não autorizadas.
Como medida de contorno temporária, considere implementar medidas de segurança adicionais para mitigar o risco de ataques CSRF até que uma correção esteja disponível.
Exploit
Correção
LPE
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erpnext