Escanear grátis
HIGHCVE-2026-44447CVSS 8.8

CVE-2026-44447: SQL Injection em ERPNext

Plataforma

php

Componente

erpnext

Corrigido em

16.9.0

Ver no NVD
Salvar

O ERPNext, uma ferramenta de planejamento de recursos empresariais (ERP) de código aberto, apresenta uma vulnerabilidade de SQL Injection. Essa falha permite que um atacante execute consultas SQL arbitrárias, potencialmente extraindo informações sensíveis do banco de dados. A vulnerabilidade afeta versões anteriores a 16.9.0 e foi corrigida na versão 16.9.0.

Impacto e Cenários de Ataque

Um atacante explorando esta vulnerabilidade pode obter acesso não autorizado a dados confidenciais armazenados no banco de dados do ERPNext, como informações financeiras, dados de clientes, informações de funcionários e segredos comerciais. A extração de dados pode levar a roubo de identidade, fraude financeira e comprometimento da reputação da empresa. Além disso, dependendo das permissões do usuário associado à consulta SQL injetada, o atacante pode ser capaz de modificar ou excluir dados no banco de dados, causando interrupção significativa das operações de negócios.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-13. A probabilidade de exploração é considerada média, pois requer algum conhecimento técnico para criar requisições SQL injetadas. Não há informações disponíveis sobre campanhas de exploração ativas ou a inclusão em listas como KEV ou EPSS no momento da publicação.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componenteerpnext
Fornecedorfrappe
Versão mínima0.0.0
Versão máxima< 16.9.0
Corrigido em16.9.0

Classificação de Fraqueza (CWE)

CWE-89

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária é atualizar o ERPNext para a versão 16.9.0 ou superior. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como restringir o acesso a endpoints vulneráveis, usar firewalls de aplicação web (WAF) para filtrar tráfego malicioso e realizar auditorias de segurança regulares para identificar e corrigir outras possíveis vulnerabilidades. Verifique se as consultas ao banco de dados estão devidamente parametrizadas para evitar a injeção de SQL.

Como corrigirtraduzindo…

Actualice a la versión 16.9.0 o posterior para mitigar la vulnerabilidad de inyección SQL.  Verifique las notas de la versión para obtener instrucciones de actualización específicas y posibles cambios en la configuración.  Implemente validaciones de entrada robustas en todos los puntos de entrada de datos para prevenir futuras inyecciones SQL.

Perguntas frequentes

O que é CVE-2026-44447 — SQL Injection no ERPNext?

CVE-2026-44447 é uma vulnerabilidade de SQL Injection no ERPNext, permitindo que um atacante execute consultas SQL maliciosas e extraia dados sensíveis.

Estou afetado pelo CVE-2026-44447 no ERPNext?

Se você estiver usando uma versão do ERPNext anterior a 16.9.0, você está afetado por esta vulnerabilidade. Atualize para a versão 16.9.0 ou superior.

Como corrigir CVE-2026-44447 no ERPNext?

A correção é atualizar o ERPNext para a versão 16.9.0 ou superior. Implemente medidas de segurança adicionais, como WAFs e auditorias regulares.

CVE-2026-44447 está sendo ativamente explorado?

Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade representa um risco significativo.

Onde posso encontrar o aviso oficial do ERPNext para CVE-2026-44447?

Consulte o site oficial do ERPNext para obter o aviso de segurança e informações adicionais: [https://erpnext.com/](https://erpnext.com/)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...