Vulnerabilities ›

CVE-2026-44447

High

CWE-89 — Weakness Type

                    Published: May 13, 2026                      ·  Modified: May 20, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

ERPNext is a free and open source Enterprise Resource Planning tool. Prior to 16.9.0, some endpoints were vulnerable to SQL injection through specially crafted requests, which would allow a malicious actor to extract sensitive information. This vulnerability is fixed in 16.9.0.

🤖 AI Executive Summary

ERPNext versions prior to 16.9.0 contain SQL injection vulnerabilities in certain endpoints that allow attackers to extract sensitive information through specially crafted requests. Organizations using affected versions should immediately upgrade to 16.9.0 or later to mitigate this critical risk.

📄 Description (Arabic)

تؤثر هذه الثغرة على نقاط نهاية محددة في ERPNext وتسمح بتنفيذ استعلامات SQL غير مصرح بها. يمكن للمهاجمين استخراج بيانات حساسة مثل بيانات العملاء والمعاملات المالية والمعلومات السرية. الترقية إلى الإصدار 16.9.0 تصحح هذه الثغرة بالكامل.

🤖 ملخص تنفيذي (AI)

إصدارات ERPNext السابقة للإصدار 16.9.0 تحتوي على ثغرات حقن SQL في نقاط نهاية معينة تسمح للمهاجمين باستخراج المعلومات الحساسة من خلال طلبات مصممة خصيصاً. يجب على المنظمات التي تستخدم الإصدارات المتأثرة الترقية فوراً إلى الإصدار 16.9.0 أو أحدث لتخفيف هذا الخطر الحرج.

🤖 AI Intelligence Analysis Analyzed: May 19, 2026 20:52

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1110 T1040

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade ERPNext to version 16.9.0 or later. If immediate upgrade is not possible, implement Web Application Firewall (WAF) rules to detect and block SQL injection patterns, restrict database user permissions to minimum required privileges, and monitor database logs for suspicious query activity.

🔧 خطوات المعالجة (العربية)

قم بترقية ERPNext فوراً إلى الإصدار 16.9.0 أو أحدث. إذا لم يكن الترقية الفورية ممكنة، قم بتطبيق قواعد جدار حماية تطبيقات الويب لكشف وحجب أنماط حقن SQL، وتقييد أذونات مستخدم قاعدة البيانات بأقل الامتيازات المطلوبة، ومراقبة سجلات قاعدة البيانات للنشاط المريب.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A1.1 A2.1 A3.1

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.DS-2

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.14.2.5

🔗 References & Sources 1

🔗

https://github.com/frappe/erpnext/security/advisories/GHSA-q65v-fm9p-9vh3

security-advisories@github.com

VDB Entry

📦 Affected Products / CPE 1 entries

frappe:erpnext

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-89

EPSS0.07%

Exploit No

Patch ✗ No

Published 2026-05-13

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-89

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44447

Introduce Yourself

Sign In Required