ERPNext is a free and open source Enterprise Resource Planning tool. Prior to 15.104.3 and 16.12.0, an improper restriction of XML external entity (XXE) reference vulnerability in the EDI Module enables an authenticated attacker to read files from the local file system, including sensitive configuration files. This vulnerability is fixed in 15.104.3 and 16.12.0.
ERPNext versions before 15.104.3 and 16.12.0 contain an XXE vulnerability in the EDI Module allowing authenticated attackers to read local files including sensitive configuration data. Organizations using affected versions should upgrade immediately to patch this XML external entity processing flaw.
تؤثر هذه الثغرة على وحدة التبادل الإلكتروني للبيانات (EDI) في ERPNext وتسمح للمستخدمين المصرحين باستخراج ملفات حساسة من النظام. يمكن للمهاجمين قراءة ملفات التكوين وبيانات قاعدة البيانات والمفاتيح الخاصة من خلال معالجة كيانات XML الخارجية بشكل غير محدود.
إصدارات ERPNext السابقة للإصدار 15.104.3 و 16.12.0 تحتوي على ثغرة XXE في وحدة EDI تسمح للمهاجمين المصرحين بقراءة الملفات المحلية بما في ذلك بيانات التكوين الحساسة. يجب على المنظمات التي تستخدم الإصدارات المتأثرة الترقية فوراً لإصلاح هذا الخلل في معالجة كيانات XML الخارجية.
Upgrade ERPNext to version 15.104.3 or 16.12.0 or later immediately. Implement strict input validation and disable XML external entity processing in EDI module configurations. Restrict EDI module access to trusted users only and monitor file access logs for suspicious activity.
قم بترقية ERPNext إلى الإصدار 15.104.3 أو 16.12.0 أو أحدث فوراً. طبق التحقق الصارم من المدخلات وعطل معالجة كيانات XML الخارجية في تكوينات وحدة EDI. قيد الوصول إلى وحدة EDI للمستخدمين الموثوقين فقط وراقب سجلات الوصول إلى الملفات للنشاط المريب.