An exploitable SQL injection vulnerability exists in the authenticated part of ERPNext v10.1.6. Specially crafted web requests can cause SQL injections resulting in data compromise. The sort_by and start parameter can be used to perform an SQL injection attack. An attacker can use a browser to trigger these vulnerabilities, and no special tools are required.
Existe una vulnerabilidad explotable de inyección SQL en la parte autenticada de ERPNext v10.1.6. Las peticiones web especialmente manipuladas pueden provocar una inyección SQL, lo que resulta en el compromiso de los datos. Los parámetros sort_by y start pueden emplearse para realizar un ataque de inyección SQL. Un atacante puede emplear un navegador para desencadenar estas vulnerabilidades; no se requieren herramientas especiales.
