CVE-2026-31017

Name of the Vulnerable Software and Affected Versions ERPNext versão 16.0.1 Frappe Framework versão 16.1.1

Description Uma vulnerabilidade de Server-Side Request Forgery (SSRF) existe na funcionalidade Print Format. A sanitização insuficiente de HTML fornecido pelo usuário antes da renderização em PDF permite que invasores incluam elementos HTML como <iframe> que referenciam recursos externos. O mecanismo de renderização de PDF busca esses recursos no lado do servidor, permitindo que invasores forcem o servidor a fazer solicitações HTTP arbitrárias para serviços internos, potencialmente divulgando informações confidenciais, incluindo endpoints de metadados de nuvem.

Recommendations Atualize o ERPNext para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Atualize o Frappe Framework para uma versão mais recente que contenha uma correção para esta vulnerabilidade.