मुफ्त स्कैन करें
HIGHCVE-2026-44447CVSS 8.8

CVE-2026-44447: SQL Injection in ERPNext

प्लेटफ़ॉर्म

php

घटक

erpnext

में ठीक किया गया

16.9.0

NVD पर देखें
सहेजें

ERPNext एक मुफ्त और ओपन-सोर्स एंटरप्राइज रिसोर्स प्लानिंग टूल है। CVE-2026-44447 एक SQL इंजेक्शन भेद्यता है जो ERPNext के कुछ एंडपॉइंट्स में मौजूद है। यह भेद्यता विशेष रूप से तैयार किए गए अनुरोधों के माध्यम से संवेदनशील जानकारी निकालने की अनुमति दे सकती है। यह भेद्यता संस्करण 0.0.0 से लेकर 16.8.9 (एक्सक्लूसिव) तक के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 16.9.0 में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

यह SQL इंजेक्शन भेद्यता हमलावरों को ERPNext डेटाबेस से संवेदनशील जानकारी निकालने की अनुमति दे सकती है। इसमें उपयोगकर्ता क्रेडेंशियल, वित्तीय डेटा और अन्य गोपनीय जानकारी शामिल हो सकती है। हमलावर डेटाबेस को संशोधित या हटाने के लिए भी SQL इंजेक्शन का उपयोग कर सकते हैं, जिससे ERPNext सिस्टम की अखंडता और उपलब्धता प्रभावित हो सकती है। इस भेद्यता का उपयोग करके, हमलावर आंतरिक नेटवर्क में भी प्रवेश कर सकते हैं और अन्य प्रणालियों पर हमला कर सकते हैं। यह भेद्यता ERPNext उपयोगकर्ताओं के लिए एक गंभीर खतरा है, खासकर उन संगठनों के लिए जो संवेदनशील डेटा संग्रहीत करते हैं।

शोषण संदर्भ

CVE-2026-44447 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SQL इंजेक्शन भेद्यताएँ आम तौर पर शोषण के लिए आकर्षक लक्ष्य होती हैं। इस CVE को 2026-05-13 को प्रकाशित किया गया था। इसकी गंभीरता का मूल्यांकन उच्च (HIGH) है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (POC) अभी तक ज्ञात नहीं हैं, लेकिन इस भेद्यता का शोषण करने के लिए हमलावर आसानी से POC विकसित कर सकते हैं।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकerpnext
विक्रेताfrappe
न्यूनतम संस्करण0.0.0
अधिकतम संस्करण< 16.9.0
में ठीक किया गया16.9.0

कमजोरी वर्गीकरण (CWE)

CWE-89

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

CVE-2026-44447 को कम करने के लिए, ERPNext को संस्करण 16.9.0 या उच्चतर में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL इंजेक्शन हमलों को ब्लॉक किया जा सकता है। WAF को SQL इंजेक्शन पैटर्न का पता लगाने और ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके SQL इंजेक्शन के जोखिम को कम किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम का परीक्षण करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 16.9.0 o posterior para mitigar la vulnerabilidad de inyección SQL.  Verifique las notas de la versión para obtener instrucciones de actualización específicas y posibles cambios en la configuración.  Implemente validaciones de entrada robustas en todos los puntos de entrada de datos para prevenir futuras inyecciones SQL.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44447 — SQL इंजेक्शन ERPNext में क्या है?

CVE-2026-44447 ERPNext में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को संवेदनशील जानकारी निकालने की अनुमति दे सकती है। यह संस्करण 0.0.0 से 16.8.9 तक के संस्करणों को प्रभावित करता है।

क्या मैं CVE-2026-44447 से ERPNext में प्रभावित हूं?

यदि आप ERPNext के संस्करण 0.0.0 से 16.8.9 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-44447 से ERPNext को कैसे ठीक करूं?

CVE-2026-44447 को ठीक करने के लिए, ERPNext को संस्करण 16.9.0 या उच्चतर में अपग्रेड करें।

क्या CVE-2026-44447 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-44447 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SQL इंजेक्शन भेद्यताएँ आम तौर पर शोषण के लिए आकर्षक लक्ष्य होती हैं।

मैं ERPNext के लिए CVE-2026-44447 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?

आप ERPNext के लिए आधिकारिक सलाहकार ERPNext वेबसाइट पर पा सकते हैं: [ERPNext Advisory Link - Replace with actual link]

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...