CVE-2026-42840
A NVD · · CVE-2026-42840
Admiralty-Bewertung (A–F · 1–6)
Quellenzuverlässigkeit
- A Völlig zuverlässig
- B Gewöhnlich zuverlässig
- C Recht zuverlässig
- D Nicht gewöhnlich zuverlässig
- E Unzuverlässig
- F Nicht bewertbar
Informationsglaubwürdigkeit
- 1 Bestätigt
- 2 Wahrscheinlich wahr
- 3 Möglicherweise wahr
- 4 Zweifelhaft
- 5 Unwahrscheinlich
- 6 Nicht bewertbar
NATO Admiralty (AJP-2.1) bewertet die Verlässlichkeit, unabhängig vom Risk Score. Für Nicht-CVE-News wird keine quellenübergreifende Bestätigung erfasst, daher sind Einzelquellen-Meldungen in der Glaubwürdigkeit gedeckelt; eine niedrige Zahl bedeutet nicht geringe Qualität.
Kennzahlen
- EPSS
- 0%
Key Insight
Ein authentifizierter Benutzer kann persistentes JavaScript im Kundendatensatz injizieren und damit jeden POS-Operator im Unternehmen attackieren, der diesen Kundensatz aufruft.
Beschreibung
CVE-2026-42840 ist eine Stored-XSS-Schwachstelle in ERPNext 16.16.0, die es authentifizierten Benutzern erlaubt, beliebigen HTML- und JavaScript-Code in den Feldern "email_id" oder "mobile_no" eines Kundendatensatzes einzuschleusen. Diese Codes werden ungefiltert im Point-of-Sale-Interface für jeden Bediener angezeigt, der diesen Kundensatz aufruft, was zu Session-Übernahme oder Datendiebstahl führen kann. Die Schwachstelle setzt Zugriffskontrolle voraus (authentifizierter Benutzer), ermöglicht aber Angreifer mit internen oder Lieferanten-Credentials, die Integrität von Geschäftsabläufen zu gefährden.
Risk Score
- cvss base
- 0.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 0.00
- industry weight
- 1.10
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- 0.00
Pfad: operational