Gratis scannen
HIGHCVE-2026-44447CVSS 8.8

CVE-2026-44447: SQL Injection in ERPNext

Platform

php

Component

erpnext

Opgelost in

16.9.0

Bekijk op NVD
Opslaan

CVE-2026-44447 beschrijft een SQL Injection kwetsbaarheid in ERPNext, een open-source ERP tool. Deze kwetsbaarheid stelt een aanvaller in staat om gevoelige informatie te extraheren via speciaal ontworpen verzoeken. De kwetsbaarheid treft versies 0.0.0 (inclusief) tot < 16.9.0. De kwetsbaarheid is verholpen in versie 16.9.0.

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de ERPNext database. Een aanvaller kan gevoelige data zoals gebruikersnamen, wachtwoorden, financiële gegevens en andere bedrijfskritieke informatie stelen. Afhankelijk van de configuratie van de database, kan de aanvaller mogelijk ook data wijzigen of verwijderen, wat de integriteit van de ERPNext installatie in gevaar brengt. De impact is aanzienlijk, aangezien ERPNext vaak wordt gebruikt voor het beheren van cruciale bedrijfsprocessen.

Uitbuitingscontext

De publicatie van deze CVE vond plaats op 2026-05-13. Er is momenteel geen informatie beschikbaar over actieve campagnes of public beschikbare Proof-of-Concept (POC) exploits. De CVSS score van 8.8 (HIGH) duidt op een significant risico, en het is aan te raden om de kwetsbaarheid zo snel mogelijk te patchen.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componenterpnext
Leverancierfrappe
Minimumversie0.0.0
Maximumversie< 16.9.0
Opgelost in16.9.0

Zwakheidsclassificatie (CWE)

CWE-89

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie is het updaten van ERPNext naar versie 16.9.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de kwetsbare endpoints via een Web Application Firewall (WAF) of proxy. Configureer de WAF om SQL Injection pogingen te detecteren en te blokkeren. Controleer de configuratie van de database om ervoor te zorgen dat de gebruikersrechten zo beperkt mogelijk zijn. Na de upgrade, bevestig de correcte werking door een geautomatiseerde scan uit te voeren op bekende SQL Injection patronen.

Hoe te verhelpenwordt vertaald…

Actualice a la versión 16.9.0 o posterior para mitigar la vulnerabilidad de inyección SQL.  Verifique las notas de la versión para obtener instrucciones de actualización específicas y posibles cambios en la configuración.  Implemente validaciones de entrada robustas en todos los puntos de entrada de datos para prevenir futuras inyecciones SQL.

Veelgestelde vragen

Wat is CVE-2026-44447 — SQL Injection in ERPNext?

CVE-2026-44447 beschrijft een SQL Injection kwetsbaarheid in ERPNext, waardoor een aanvaller gevoelige informatie uit de database kan halen.

Am I affected by CVE-2026-44447 in ERPNext?

U bent mogelijk getroffen als u ERPNext gebruikt in versie 0.0.0 t/m < 16.9.0. Controleer uw versie en update indien nodig.

How do I fix CVE-2026-44447 in ERPNext?

Update ERPNext naar versie 16.9.0 of hoger. Indien een upgrade niet direct mogelijk is, implementeer dan tijdelijke mitigaties zoals een WAF.

Is CVE-2026-44447 being actively exploited?

Er is momenteel geen informatie beschikbaar over actieve exploits, maar de hoge CVSS score vereist onmiddellijke aandacht.

Where can I find the official ERPNext advisory for CVE-2026-44447?

Raadpleeg de officiële ERPNext website en de beveiligingspagina voor de meest recente informatie en advisories: [https://erpnext.com/security](https://erpnext.com/security)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...