Scanner gratuitement
HIGHCVE-2026-44447CVSS 8.8

CVE-2026-44447: SQL Injection in ERPNext

Plateforme

php

Composant

erpnext

Corrigé dans

16.9.0

Voir sur NVD
Sauvegarder

Une vulnérabilité de type SQL Injection a été découverte dans ERPNext, un outil de planification des ressources d'entreprise open source. Cette faille permet à un acteur malveillant d'extraire des informations sensibles via des requêtes spécialement conçues. Elle affecte les versions de ERPNext antérieures à la version 16.9.0. La vulnérabilité est corrigée dans la version 16.9.0.

Impact et Scénarios d'Attaque

L'exploitation réussie de cette vulnérabilité SQL Injection permet à un attaquant d'injecter des requêtes SQL malveillantes dans les entrées de l'application ERPNext. Cela peut conduire à la divulgation d'informations sensibles stockées dans la base de données, telles que les informations d'identification des utilisateurs, les données financières et les informations sur les clients. Dans le pire des cas, un attaquant pourrait potentiellement modifier ou supprimer des données, compromettant ainsi l'intégrité du système ERP. La nature de la vulnérabilité et la sensibilité des données gérées par ERPNext amplifient considérablement l'impact potentiel.

Contexte d'Exploitation

La vulnérabilité a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une certaine expertise technique pour exploiter la vulnérabilité SQL Injection. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité et la sensibilité des données gérées par ERPNext suggèrent qu'elle pourrait devenir une cible pour les attaquants.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composanterpnext
Fournisseurfrappe
Version minimale0.0.0
Version maximale< 16.9.0
Corrigé dans16.9.0

Classification de Faiblesse (CWE)

CWE-89

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournements

La mesure de mitigation la plus efficace consiste à mettre à jour ERPNext vers la version 16.9.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des règles de pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des injections SQL. Examinez attentivement les entrées utilisateur et appliquez une validation et un échappement rigoureux pour empêcher l'injection de code malveillant. Surveillez les journaux d'accès et d'erreurs pour détecter toute activité suspecte, en particulier les erreurs SQL inattendues.

Comment corrigertraduction en cours…

Actualice a la versión 16.9.0 o posterior para mitigar la vulnerabilidad de inyección SQL.  Verifique las notas de la versión para obtener instrucciones de actualización específicas y posibles cambios en la configuración.  Implemente validaciones de entrada robustas en todos los puntos de entrada de datos para prevenir futuras inyecciones SQL.

Questions fréquentes

Quel est le CVE-2026-44447 — SQL Injection dans ERPNext ?

Le CVE-2026-44447 décrit une vulnérabilité de type SQL Injection dans ERPNext, permettant l'extraction d'informations sensibles via des requêtes malveillantes. Elle affecte les versions antérieures à 16.9.0.

Suis-je affecté par le CVE-2026-44447 dans ERPNext ?

Vous êtes affecté si vous utilisez ERPNext dans une version antérieure à 16.9.0. Vérifiez votre version et mettez à jour si nécessaire.

Comment corriger le CVE-2026-44447 dans ERPNext ?

La correction consiste à mettre à jour ERPNext vers la version 16.9.0 ou supérieure. Si la mise à jour n'est pas possible immédiatement, appliquez des mesures de mitigation temporaires comme un WAF.

Le CVE-2026-44447 est-il activement exploité ?

À l'heure actuelle, il n'y a aucune preuve d'exploitation active, mais la vulnérabilité est considérée comme potentiellement dangereuse en raison de la sensibilité des données gérées par ERPNext.

Où puis-je trouver l'avis officiel d'ERPNext pour le CVE-2026-44447 ?

Consultez le site web d'ERPNext ou leur page de sécurité pour obtenir des informations officielles sur cette vulnérabilité et les mesures de correction recommandées.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...