PT-2026-46043 · Frappe · Erpnext
Oscar Naveda
·
Publicado
2026-06-03
·
Atualizado
2026-06-15
·
CVE-2026-42839
CVSS v4.0
4.8
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
ERPNext versão 16.16.0
Description
Um usuário autenticado com permissões para editar registros de Itens pode injetar HTML ou JavaScript arbitrário nos campos
item name, description ou image de um Item. Isso resulta em renderização não escapada na interface do carrinho do Ponto de Venda (POS) para qualquer operador que adicione o item afetado a uma transação.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erpnext