PT-2025-40246 · Frappe · Erpnext

Datnlq

Publicado

2025-10-01

Atualizado

2025-10-06

CVE-2025-52042

CVSS v3.1

8.2

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Name of the Vulnerable Software and Affected Versions Frappe ERPNext version 15.57.5

Description The get rfq containing supplier() function located at erpnext/buying/doctype/request for quotation/request for quotation.py is susceptible to SQL Injection. An attacker can inject a SQL query through the txt parameter, potentially allowing extraction of all information from databases.

Recommendations Apply a fix that properly sanitizes the txt parameter used in the get rfq containing supplier() function.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2025-52042

Produtos afetados

Erpnext

PT-2025-40246 · Frappe · Erpnext

CVE-2025-52042

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8