ERPNext is a free and open source Enterprise Resource Planning tool. Prior to 15.101.1 and 16.10.0, an Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability on an endpoint allows an authenticated adjacent attacker to read arbitrary files. This vulnerability is fixed in 15.101.1 and 16.10.0.
ERPNext versions before 15.101.1 and 16.10.0 contain a path traversal vulnerability allowing authenticated users to read arbitrary files on the system. The vulnerability affects an unspecified endpoint and requires adjacent network access to exploit.
ثغرة اجتياز المسار في ERPNext تسمح للمستخدمين المصرحين بقراءة ملفات عشوائية خارج المجلد المقصود. تؤثر الثغرة على الإصدارات السابقة للإصدار 15.101.1 و16.10.0 وتتطلب وصول مصرح للاستغلال.
إصدارات ERPNext السابقة للإصدار 15.101.1 و16.10.0 تحتوي على ثغرة اجتياز المسار التي تسمح للمستخدمين المصرحين بقراءة ملفات عشوائية على النظام. تؤثر الثغرة على نقطة نهاية غير محددة وتتطلب وصول شبكة مجاور للاستغلال.
Upgrade ERPNext immediately to version 15.101.1 or 16.10.0 or later. Implement network segmentation to restrict access to ERPNext instances. Apply principle of least privilege for user accounts. Monitor file access logs for suspicious activity. Implement Web Application Firewall (WAF) rules to detect path traversal attempts.
قم بترقية ERPNext فوراً إلى الإصدار 15.101.1 أو 16.10.0 أو أحدث. طبق تقسيم الشبكة لتقييد الوصول إلى مثيلات ERPNext. طبق مبدأ أقل صلاحية للحسابات. راقب سجلات الوصول للملفات بحثاً عن نشاط مريب. طبق قواعد جدار حماية تطبيقات الويب لكشف محاولات اجتياز المسار.