मुफ्त स्कैन करें
CRITICALCVE-2026-44442CVSS 9.9

CVE-2026-44442: भूमिका-आधारित पहुँच नियंत्रण में त्रुटि ERPNext में

प्लेटफ़ॉर्म

python

घटक

erpnext

में ठीक किया गया

16.9.1

NVD पर देखें
सहेजें

ERPNext एक मुफ्त और ओपन-सोर्स एंटरप्राइज रिसोर्स प्लानिंग (ERP) टूल है। CVE-2026-44442 एक गंभीर भेद्यता है जो ERPNext के संस्करण 0.0.0 से कम 16.9.1 तक मौजूद है। इस भेद्यता के कारण, उपयोगकर्ता अपनी अनुमत भूमिका से परे डेटा को संशोधित कर सकते हैं। संस्करण 16.9.1 में इस समस्या का समाधान किया गया है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को ERPNext सिस्टम में अनधिकृत पहुँच प्राप्त करने और संवेदनशील डेटा को संशोधित करने की अनुमति देती है। हमलावर वित्तीय रिकॉर्ड, ग्राहक जानकारी, इन्वेंट्री डेटा और अन्य महत्वपूर्ण व्यावसायिक जानकारी में हेरफेर कर सकते हैं। यह डेटा हानि, वित्तीय धोखाधड़ी और प्रतिष्ठा को नुकसान पहुंचा सकता है। यदि हमलावर सिस्टम के उच्च-स्तरीय खातों तक पहुँच प्राप्त कर लेते हैं, तो वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं और आगे के हमलों को लॉन्च कर सकते हैं। इस भेद्यता का प्रभाव ERPNext सिस्टम पर निर्भर संगठनों के लिए विनाशकारी हो सकता है।

शोषण संदर्भ

CVE-2026-44442 को अभी तक सक्रिय रूप से शोषण करने के लिए जाना नहीं जाता है, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता सार्वजनिक रूप से उपलब्ध है, और हमलावर इसका फायदा उठाने के लिए सक्रिय रूप से प्रयास कर सकते हैं। CISA ने इस भेद्यता के बारे में एक सलाहकार जारी किया है। इस भेद्यता का शोषण करने की संभावना को कम करने के लिए तत्काल कार्रवाई करना महत्वपूर्ण है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट2 खतरा रिपोर्ट

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H9.9CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकerpnext
विक्रेताfrappe
न्यूनतम संस्करण0.0.0
अधिकतम संस्करण< 16.9.1
में ठीक किया गया16.9.1

कमजोरी वर्गीकरण (CWE)

CWE-862

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

CVE-2026-44442 को कम करने के लिए, ERPNext को तुरंत संस्करण 16.9.1 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो भूमिका-आधारित पहुँच नियंत्रण को सख्त करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। इसमें अनावश्यक उपयोगकर्ता खातों को अक्षम करना, पासवर्ड नीतियों को मजबूत करना और नेटवर्क एक्सेस को सीमित करना शामिल है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग अनधिकृत पहुँच प्रयासों को ब्लॉक करने के लिए भी किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए सिस्टम का परीक्षण करें कि भूमिका-आधारित पहुँच नियंत्रण ठीक से काम कर रहा है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 16.9.1 o posterior para corregir la vulnerabilidad. Esta actualización implementa las validaciones de autorización necesarias para prevenir la modificación no autorizada de documentos.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44442 — भूमिका-आधारित पहुँच नियंत्रण त्रुटि ERPNext में क्या है?

CVE-2026-44442 ERPNext में एक भेद्यता है जो हमलावरों को अपनी अनुमत भूमिका से परे डेटा को संशोधित करने की अनुमति देती है, जिससे संवेदनशील जानकारी का समझौता हो सकता है। यह संस्करण 0.0.0 से कम 16.9.1 तक प्रभावित करता है।

क्या मैं CVE-2026-44442 में ERPNext से प्रभावित हूँ?

यदि आप ERPNext के संस्करण 0.0.0 से कम 16.9.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। तुरंत संस्करण 16.9.1 में अपग्रेड करें।

मैं CVE-2026-44442 में ERPNext को कैसे ठीक करूँ?

CVE-2026-44442 को ठीक करने के लिए, ERPNext को संस्करण 16.9.1 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो अतिरिक्त सुरक्षा उपाय लागू करें।

क्या CVE-2026-44442 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-44442 को अभी तक सक्रिय रूप से शोषण करने के लिए जाना नहीं जाता है, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है।

मैं CVE-2026-44442 के लिए आधिकारिक ERPNext सलाहकार कहाँ पा सकता हूँ?

आप ERPNext सलाहकार को ERPNext वेबसाइट पर या CISA वेबसाइट पर पा सकते हैं।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock
liveमुफ्त स्कैन

अपने Python प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

Upload your requirements.txt and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...