Vulnerabilità: CVE-2018-20061


Un problema di SQL injection è stato scoperto nel ERPNext 10.x ed 11.x attraverso 11.0.3-beta.29. Questo attacco è disponibile solo per un utente connesso; tuttavia, molti siti ERPNext permettono la creazione di account tramite il web. Non privilegi speciali sono necessari per condurre l’attacco. Chiamando una funzione JavaScript che chiama una funzione Python lato server con argomenti scelti con cura, un attacco di SQL può essere effettuata che consente query SQL per essere costruiti per tornare tutte le colonne da tutte le tabelle del database. Questo è legato alla / api / risorsa / Articolo? Campi = URI, frappe.get_list e frappe.call.
https://github.com/frappe/erpnext/issues/15337
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20061

E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi