CVE-2026-44445 CVSS 6.5 中危

CVE-2026-44445 ERPNext XXE漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44445

漏洞类型

XML外部实体注入 (XXE)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ERPNext

漏洞概述

ERPNext是一款免费的开源企业资源规划工具。在15.104.3和16.12.0版本之前，其EDI模块中存在XML外部实体（XXE）引用限制不当的漏洞。经过身份认证的攻击者可以利用此缺陷，通过发送特制的XML请求读取服务器本地文件系统中的任意文件，包括敏感的配置文件。

技术细节

该漏洞的根本原因在于ERPNext的EDI模块在处理XML数据时，未正确禁用外部实体的解析。XML解析器默认支持DOCTYPE声明，允许定义外部实体。当攻击者作为经过身份认证的用户向EDI接口发送特制的XML payload时，可以通过定义SYSTEM或PUBLIC实体指向服务器本地文件（如/etc/passwd或配置文件）。解析器在处理XML时会解析这些实体并将文件内容返回给攻击者。由于CVSS向量显示为PR:L（低权限），攻击者仅需普通账号即可发起攻击，无需用户交互（UI:N），且攻击通过网络进行（AV:N）。这主要影响了机密性（C:H），导致敏感信息泄露。

攻击链分析

STEP 1

步骤1：获取认证

攻击者获取ERPNext系统的低权限用户账号。

STEP 2

步骤2：构造Payload

攻击者构造包含恶意DOCTYPE定义的XML数据，指定文件读取实体。

STEP 3

步骤3：发送请求

攻击者将恶意XML数据发送至EDI模块的接口端点。

STEP 4

步骤4：解析与读取

服务器端XML解析器处理请求，读取本地文件并填充实体内容。

STEP 5

步骤5：数据泄露

服务器将包含文件内容的响应返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?xml version="1.0" encoding="ISO-8859-1"?>
<!-- XXE Payload to read local files -->
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<foo>&xxe;</foo>

影响范围

ERPNext < 15.104.3

ERPNext < 16.12.0

防御指南

临时缓解措施

如果无法立即升级，建议限制对EDI模块的网络访问，仅允许受信任的IP连接。同时，在Web应用防火墙（WAF）中部署规则，检测并拦截包含DOCTYPE或外部实体定义的XML请求流量，以阻断攻击尝试。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表