PT-2026-46044 · Frappe · Erpnext
Oscar Naveda
·
Publicado
2026-06-03
·
Atualizado
2026-06-16
·
CVE-2026-42840
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
ERPNext versão 16.16.0
Descrição
Um usuário autenticado pode persistir HTML ou JavaScript arbitrário nos campos
email id ou mobile no de um registro de Cliente. Isso resulta em renderização não escapada na interface do Point of Sale (POS) para cada operador que selecionar o cliente afetado.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erpnext