ERPNext is a free and open source Enterprise Resource Planning tool. Prior to 16.9.0, some endpoints were vulnerable to SQL injection through specially crafted requests, which would allow a malicious actor to extract sensitive information. This vulnerability is fixed in 16.9.0.
ERPNext versions prior to 16.9.0 contain SQL injection vulnerabilities in certain endpoints that allow attackers to extract sensitive information through specially crafted requests. Organizations using affected versions should immediately upgrade to 16.9.0 or later to mitigate this critical risk.
تؤثر هذه الثغرة على نقاط نهاية محددة في ERPNext وتسمح بتنفيذ استعلامات SQL غير مصرح بها. يمكن للمهاجمين استخراج بيانات حساسة مثل بيانات العملاء والمعاملات المالية والمعلومات السرية. الترقية إلى الإصدار 16.9.0 تصحح هذه الثغرة بالكامل.
إصدارات ERPNext السابقة للإصدار 16.9.0 تحتوي على ثغرات حقن SQL في نقاط نهاية معينة تسمح للمهاجمين باستخراج المعلومات الحساسة من خلال طلبات مصممة خصيصاً. يجب على المنظمات التي تستخدم الإصدارات المتأثرة الترقية فوراً إلى الإصدار 16.9.0 أو أحدث لتخفيف هذا الخطر الحرج.
Immediately upgrade ERPNext to version 16.9.0 or later. If immediate upgrade is not possible, implement Web Application Firewall (WAF) rules to detect and block SQL injection patterns, restrict database user permissions to minimum required privileges, and monitor database logs for suspicious query activity.
قم بترقية ERPNext فوراً إلى الإصدار 16.9.0 أو أحدث. إذا لم يكن الترقية الفورية ممكنة، قم بتطبيق قواعد جدار حماية تطبيقات الويب لكشف وحجب أنماط حقن SQL، وتقييد أذونات مستخدم قاعدة البيانات بأقل الامتيازات المطلوبة، ومراقبة سجلات قاعدة البيانات للنشاط المريب.