关键漏洞信息 漏洞概述 漏洞类型: CSRF (CVE 352) 受影响产品: ERPNext 版本: 14.82.1, 14.74.3 严重性: 高 CVSS v3 分数: 8.1 状态: 未修复 发现者: Ahmed Thaibah ThvOne 发现日期: 2025-01-09 CVE ID: CVE-2025-28062 (预留) 技术细节 漏洞描述: 在ERPNext 14.82.1和14.74.3中发现了跨站请求伪造(CSRF)漏洞,允许攻击者执行未经授权的操作,如用户枚举、账户接管、任意用户删除和特权升级。 漏洞原因: 关键管理API端点缺乏CSRF保护。 证明概念(PoCs) 1. 用户枚举 - 通过发送GET请求到特定API端点,可以枚举用户信息。 2. 删除用户 - 通过恶意链接,可以删除任意用户。 3. 向任意用户添加特权角色 - 通过JSON payload,可以将特权角色分配给任意用户。 4. 更改任意用户的密码 - 通过构造并提交包含恶意payload的表单,可以更改任意用户的密码。 利用场景 攻击者可以通过托管恶意网站来利用此漏洞。当ERPNext管理员访问该恶意网站时,其浏览器会自动触发对ERPNext的请求,导致未经授权的修改或删除操作。 缓解建议 强制在所有状态更改端点上使用CSRF令牌。 禁止 请求用于保存/删除操作。 标记身份验证cookie为 。 对关键操作(如密码更改、角色更改)要求重新认证。 参考资料 ERPNext GitHub Ahmed Thaibah - LinkedIn OWASP CSRF指南 致谢 发现者: Ahmed Thaibah ThvOne 免责声明 此研究仅用于防御目的,旨在提高意识并鼓励安全开发实践。