CVE-2025-56381CVE-2025-56381是ERPNext v15.67.0版本中存在的一个SQL注入漏洞。该漏洞于2025年10月2日由MITRE组织披露,CVSS 3.1评分为6.5分,属于中危级别漏洞。ERPNext是一款基于Frappe框架的开源企业资源规划(ERP)系统,广泛应用于企业的财务、库存、客户关系、人力资源等业务管理领域。该漏洞存在于Frappe框架的报表视图接口(/api/method/frappe.desk.reportview.get)中,攻击者可以通过精心构造的order_by和group_by参数,向后端数据库注入恶意的SQL语句。由于该接口无需认证即可访问(PR:N),且攻击向量为网络(AV:N),无需用户交互(UI:N),这使得该漏洞具有较高的可利用性。成功利用此漏洞的攻击者可以读取和修改数据库中的敏感信息,包括但不限于用户凭证、业务数据、财务记录等,对企业的数据安全和业务连续性构成严重威胁。该漏洞的机密性影响为低(C:L),完整性影响为低(I:L),可用性影响为无(A:N),表明攻击者主要能够获取和篡改数据,但不会导致服务中断。
该SQL注入漏洞位于ERPNext(基于Frappe框架)的报表视图API接口中,具体路径为/api/method/frappe.desk.reportview.get。该接口用于获取报表数据,支持通过order_by参数指定排序字段以及通过group_by参数指定分组字段。然而,这两个参数在传入后端数据库查询时,未经过充分的输入验证和参数化处理,直接拼接到SQL查询语句中,导致攻击者可以通过注入恶意SQL片段来操纵查询逻辑。例如,攻击者可以在order_by参数中注入类似"column_name; UNION SELECT username,password FROM tabUser--"的payload,或者在group_by参数中注入类似的恶意SQL语句。由于Frappe框架的数据库抽象层在某些情况下会直接使用字符串拼接而非参数化查询,导致SQL注入成为可能。该漏洞无需认证即可利用,攻击者只需发送精心构造的HTTP请求即可执行任意SQL查询,从而绕过应用层的访问控制,直接操作数据库。需要注意的是,虽然该漏洞的可用性影响为无,但攻击者仍然可以通过UNION查询提取敏感数据,或者通过INSERT/UPDATE语句篡改数据库内容,对系统安全造成实质性损害。