मुफ्त स्कैन करें
HIGHCVE-2026-44446CVSS 8.8

CVE-2026-44446: SQL Injection in ERPNext

प्लेटफ़ॉर्म

php

घटक

erpnext

में ठीक किया गया

16.14.0

NVD पर देखें
सहेजें

ERPNext एक मुफ्त और ओपन-सोर्स एंटरप्राइज रिसोर्स प्लानिंग टूल है। CVE-2026-44446 एक SQL इंजेक्शन भेद्यता है जो ERPNext के कुछ एंडपॉइंट्स में मौजूद है। यह भेद्यता विशेष रूप से तैयार किए गए अनुरोधों के माध्यम से संवेदनशील जानकारी निकालने की अनुमति दे सकती है। यह भेद्यता संस्करण 16.0.0-beta.1 से लेकर 16.14.0 (एक्सक्लूसिव) तक के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 16.14.0 में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

यह SQL इंजेक्शन भेद्यता हमलावरों को ERPNext डेटाबेस से संवेदनशील जानकारी निकालने की अनुमति दे सकती है। इसमें उपयोगकर्ता क्रेडेंशियल, वित्तीय डेटा और अन्य गोपनीय जानकारी शामिल हो सकती है। हमलावर डेटाबेस को संशोधित या हटाने के लिए भी SQL इंजेक्शन का उपयोग कर सकते हैं, जिससे ERPNext सिस्टम की अखंडता और उपलब्धता प्रभावित हो सकती है। इस भेद्यता का उपयोग करके, हमलावर आंतरिक नेटवर्क में भी प्रवेश कर सकते हैं और अन्य प्रणालियों पर हमला कर सकते हैं। यह भेद्यता ERPNext उपयोगकर्ताओं के लिए एक गंभीर खतरा है, खासकर उन संगठनों के लिए जो संवेदनशील डेटा संग्रहीत करते हैं।

शोषण संदर्भ

CVE-2026-44446 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SQL इंजेक्शन भेद्यताएँ आम तौर पर शोषण के लिए आकर्षक लक्ष्य होती हैं। इस CVE को 2026-05-13 को प्रकाशित किया गया था। इसकी गंभीरता का मूल्यांकन उच्च (HIGH) है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (POC) अभी तक ज्ञात नहीं हैं, लेकिन इस भेद्यता का शोषण करने के लिए हमलावर आसानी से POC विकसित कर सकते हैं।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकerpnext
विक्रेताfrappe
न्यूनतम संस्करण16.0.0-beta.1
अधिकतम संस्करण>= 16.0.0-beta.1, < 16.14.0
में ठीक किया गया16.14.0

कमजोरी वर्गीकरण (CWE)

CWE-89

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

CVE-2026-44446 को कम करने के लिए, ERPNext को संस्करण 16.14.0 या उच्चतर में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL इंजेक्शन हमलों को ब्लॉक किया जा सकता है। WAF को SQL इंजेक्शन पैटर्न का पता लगाने और ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके SQL इंजेक्शन के जोखिम को कम किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम का परीक्षण करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice ERPNext a la versión 15.104.3 o 16.14.0 para mitigar la vulnerabilidad de inyección SQL.  Asegúrese de realizar una copia de seguridad de su base de datos antes de aplicar la actualización.  Verifique la documentación oficial de ERPNext para obtener instrucciones detalladas sobre el proceso de actualización.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44446 — SQL इंजेक्शन ERPNext में क्या है?

CVE-2026-44446 ERPNext में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को संवेदनशील जानकारी निकालने की अनुमति दे सकती है। यह संस्करण 16.0.0-beta.1 से 16.13.9 तक के संस्करणों को प्रभावित करता है।

क्या मैं CVE-2026-44446 से ERPNext में प्रभावित हूं?

यदि आप ERPNext के संस्करण 16.0.0-beta.1 से 16.13.9 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-44446 से ERPNext को कैसे ठीक करूं?

CVE-2026-44446 को ठीक करने के लिए, ERPNext को संस्करण 16.14.0 या उच्चतर में अपग्रेड करें।

क्या CVE-2026-44446 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-44446 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SQL इंजेक्शन भेद्यताएँ आम तौर पर शोषण के लिए आकर्षक लक्ष्य होती हैं।

मैं ERPNext के लिए CVE-2026-44446 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?

आप ERPNext के लिए आधिकारिक सलाहकार ERPNext वेबसाइट पर पा सकते हैं: [ERPNext Advisory Link - Replace with actual link]

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...