Vulnerabilities ›

CVE-2026-44446

High

CWE-89 — Weakness Type

                    Published: May 13, 2026                      ·  Modified: May 20, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

ERPNext is a free and open source Enterprise Resource Planning tool. Prior to 15.104.3 and 16.14.0, some endpoints were vulnerable to SQL injection through specially crafted requests, which would allow a malicious actor to extract sensitive information. This vulnerability is fixed in 15.104.3 and 16.14.0.

🤖 AI Executive Summary

ERPNext versions prior to 15.104.3 and 16.14.0 contain SQL injection vulnerabilities in certain endpoints that allow attackers to extract sensitive information through specially crafted requests. Organizations using affected versions should immediately upgrade to patch this critical vulnerability.

📄 Description (Arabic)

يحتوي ERPNext على ثغرات حقن SQL في عدة نقاط نهاية تسمح بتنفيذ استعلامات SQL غير مصرح بها. يمكن للمهاجمين استخدام هذه الثغرات لاستخراج بيانات حساسة من قواعد البيانات بما في ذلك معلومات العملاء والمعاملات المالية. الترقية إلى الإصدارات المصححة ضرورية لحماية البيانات الحساسة.

🤖 ملخص تنفيذي (AI)

إصدارات ERPNext السابقة للإصدار 15.104.3 و 16.14.0 تحتوي على ثغرات حقن SQL في نقاط نهاية معينة تسمح للمهاجمين باستخراج المعلومات الحساسة من خلال طلبات مصممة خصيصاً. يجب على المنظمات التي تستخدم الإصدارات المتأثرة الترقية فوراً لإصلاح هذه الثغرة الحرجة.

🤖 AI Intelligence Analysis Analyzed: May 19, 2026 20:51

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government healthcare energy

🎯 MITRE ATT&CK Techniques

T1190 T1083 T1005 T1041

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade ERPNext to version 15.104.3 or 16.14.0 or later. Implement input validation and parameterized queries. Review access logs for suspicious SQL injection attempts. Apply Web Application Firewall rules to detect and block SQL injection patterns. Conduct security audit of all ERPNext instances.

🔧 خطوات المعالجة (العربية)

قم بترقية ERPNext فوراً إلى الإصدار 15.104.3 أو 16.14.0 أو أحدث. طبق التحقق من صحة المدخلات والاستعلامات المعاملة. راجع سجلات الوصول للكشف عن محاولات حقن SQL المريبة. طبق قواعد جدار حماية تطبيقات الويب للكشف عن أنماط حقن SQL وحجبها. أجرِ تدقيقاً أمنياً لجميع مثيلات ERPNext.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1 A.12.2 A.12.4 A.14.2

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.DS-2 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.14.2.1 A.14.2.5

🔗 References & Sources 1

🔗

https://github.com/frappe/erpnext/security/advisories/GHSA-6fm9-g88m-hxr7

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 2 entries

frappe:erpnext

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-89

EPSS0.07%

Exploit No

Patch ✗ No

Published 2026-05-13

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-89

🏢 Vendor Advisories

🔗 https://github.com/frappe/erpnext/security/advisorie...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44446

Introduce Yourself

Sign In Required