一、 漏洞 CVE-2025-28062 基础信息
漏洞信息
# N/A
## 漏洞概述
在ERPNEXT 14.82.1和14.74.3版本中发现了一个跨站请求伪造(CSRF)漏洞。攻击者可以利用此漏洞执行未授权操作,如用户删除、密码重置和权限提升,原因是缺少CSRF保护措施。
## 影响版本
- ERPNEXT 14.82.1
- ERPNEXT 14.74.3
## 漏洞细节
该漏洞具体表现为在某些关键操作中缺少CSRF保护机制。攻击者可以构造恶意请求,诱使受害者执行未授权操作,从而导致用户账户被删除、密码被重置或权限被提升。
## 影响
- 可导致用户账户被删除
- 可导致用户密码被重置
- 可导致权限提升攻击
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Cross-Site Request Forgery (CSRF) vulnerability was discovered in ERPNEXT 14.82.1 and 14.74.3. The vulnerability allows an attacker to perform unauthorized actions such as user deletion, password resets, and privilege escalation due to missing CSRF protections.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
ERPNext 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ERPNext是印度ERPNext公司的一套开源的企业资源计划解决方案。 ERPNext 14.82.1版本和14.74.3版本存在安全漏洞,该漏洞源于缺少CSRF保护可能导致未授权操作。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-28062 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-28062 的情报信息
-
标题: GitHub - frappe/erpnext: Free and Open Source Enterprise Resource Planning (ERP) -- 🔗来源链接
标签:
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-28062