PT-2025-40354 · Erpnext · Erpnext

Moalali

·

Publicado

2025-10-02

·

Atualizado

2025-10-02

·

CVE-2025-56381

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas ERPNEXT versão 15.67.0
Descrição O software contém múltiplas falhas de injeção de SQL no endpoint da API /api/method/frappe.desk.reportview.get. Os parâmetros order by e group by são suscetíveis à exploração.
Recomendações Aplique atualizações para corrigir as falhas de injeção de SQL identificadas no endpoint /api/method/frappe.desk.reportview.get. Evite usar os parâmetros order by e group by no endpoint /api/method/frappe.desk.reportview.get até que uma correção esteja disponível.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2025-56381

Produtos afetados

Erpnext