PT-2026-37088 · Frappe · Erpnext
C0Wking
·
Publicado
2026-05-05
·
Atualizado
2026-05-25
·
CVE-2026-38431
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
ERPNext versões anteriores a 15.103.2
Descrição
O Server-Side Template Injection (SSTI) ocorre quando um invasor com permissões para criar ou editar modelos de e-mail injeta expressões de modelo. Essas expressões são executadas no servidor durante o processo de renderização do modelo.
Recomendações
Atualize para uma versão posterior à 15.103.1.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erpnext