CVE-2026-38431
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
05/05/2026
Última modificación:
08/05/2026
Descripción
*** Pendiente de traducción *** ERPNext v15.103.1 and before is vulnerable to Server-Side Template Injection (SSTI). An attacker with permission to create or edit email templates can inject template expressions that are executed on the server when the template is rendered.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:frappe:erpnext:*:*:*:*:*:*:*:* | 15.103.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



