CVE-2026-32954ERPNext是一款广泛使用的免费开源企业资源规划(ERP)系统。在16.8.0和15.100.0之前的版本中,系统未能对特定端点的输入参数进行充分验证,导致存在严重的基于时间和布尔值的盲SQL注入安全漏洞。未经身份验证的低权限攻击者可利用此漏洞,通过构造恶意SQL语句,在无需与用户交互的情况下,从后端数据库中推断并获取敏感信息。该漏洞的CVSS v3.1评分为7.1,被评定为高危级别,目前官方已在发布的更新版本中修复了此问题。
该漏洞的根源在于ERPNext应用程序在处理特定API端点请求时,对用户可控的参数缺乏严格的过滤或参数化处理。攻击者可以通过向这些易受攻击的端点发送特制的HTTP请求,在参数字段中嵌入恶意SQL片段。由于应用程序直接将输入拼接到数据库查询语句中执行,攻击者能够操纵查询逻辑。利用方式主要分为基于时间的盲注和布尔盲注。在基于时间的盲注中,攻击者利用数据库的延时函数(如MySQL的SLEEP()或BENCHMARK()),根据服务器响应时间的差异来判断SQL条件的真伪,从而逐位提取数据。布尔盲注则通过构造逻辑判断语句,观察应用返回的页面内容差异(如HTTP状态码或特定文本)来推导数据。鉴于CVSS向量显示权限要求为低(PR:L),攻击者通常仅需普通用户权限即可利用此漏洞,对数据库机密性构成严重威胁。