免费扫描
CRITICALCVE-2026-44442CVSS 9.9

CVE-2026-44442: 权限绕过漏洞在 ERPNext 中

平台

python

组件

erpnext

修复版本

16.9.1

在NVD查看
保存

CVE-2026-44442 是 ERPNext 系统中发现的一项严重权限绕过漏洞。该漏洞允许未经授权的用户修改超出其角色权限的数据,可能导致敏感信息泄露或系统配置被篡改。该漏洞影响 ERPNext 0.0.0 至 16.9.1 版本,已在 16.9.1 版本中修复。

Python

检测此 CVE 是否影响你的项目

上传你的 requirements.txt 文件,立即知道是否受影响。

上传 requirements.txt支持的格式: requirements.txt · Pipfile.lock

影响与攻击场景

攻击者可以利用此漏洞绕过 ERPNext 的访问控制机制,从而修改或删除其他用户的数据,甚至可能获得对整个系统的控制权。例如,攻击者可能修改财务数据、客户信息或库存记录,造成严重的经济损失和声誉损害。更进一步,攻击者可能利用该漏洞进行横向移动,攻击其他连接到 ERPNext 系统的服务。由于 ERPNext 通常用于管理关键业务流程,因此该漏洞的潜在影响范围非常广泛,可能影响企业的运营和合规性。

利用背景

目前尚无公开的漏洞利用代码 (POC),但由于漏洞的严重性,存在被积极利用的风险。该漏洞已在 2026 年 5 月 13 日发布,建议尽快采取缓解措施。CISA 和 NVD 尚未发布相关公告,但预计未来可能会发布。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告2 份威胁报告

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H9.9CRITICALAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件erpnext
供应商frappe
最低版本0.0.0
最高版本< 16.9.1
修复版本16.9.1

弱点分类 (CWE)

CWE-862

时间线

  1. 已保留
  2. 发布日期

缓解措施和替代方案

最有效的缓解措施是立即将 ERPNext 升级至 16.9.1 或更高版本。如果升级会中断关键业务流程,可以考虑回滚到之前的稳定版本,并实施额外的访问控制策略,例如限制用户权限、启用多因素身份验证以及定期审查用户活动日志。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以检测和阻止恶意请求,并实施严格的输入验证,以防止攻击者注入恶意代码。升级后,请验证授权机制是否正常工作,并确认用户只能访问其角色允许的资源。

修复方法翻译中…

Actualice a la versión 16.9.1 o posterior para corregir la vulnerabilidad. Esta actualización implementa las validaciones de autorización necesarias para prevenir la modificación no autorizada de documentos.

常见问题

什么是 CVE-2026-44442 — 权限绕过漏洞在 ERPNext 中?

CVE-2026-44442 是 ERPNext 0.0.0 至 16.9.1 版本中发现的权限绕过漏洞,允许攻击者超出其角色权限修改数据,CVSS 评分为 9.9 (严重)。

我是否受到 CVE-2026-44442 在 ERPNext 中的影响?

如果您正在使用 ERPNext 0.0.0 至 16.9.1 版本,则可能受到此漏洞的影响。请立即升级至 16.9.1 或更高版本。

如何修复 CVE-2026-44442 在 ERPNext 中的漏洞?

最有效的修复方法是立即将 ERPNext 升级至 16.9.1 或更高版本。如果升级会中断业务,可以考虑回滚并实施额外的访问控制策略。

CVE-2026-44442 是否正在被积极利用?

目前尚无公开的漏洞利用代码,但由于漏洞的严重性,存在被积极利用的风险。建议尽快采取缓解措施。

在哪里可以找到官方 ERPNext 关于 CVE-2026-44442 的公告?

请访问 ERPNext 的官方安全公告页面,以获取有关此漏洞的最新信息和修复指南:https://github.com/frappe/erpnext/security/advisories

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
Python

检测此 CVE 是否影响你的项目

上传你的 requirements.txt 文件,立即知道是否受影响。

上传 requirements.txt支持的格式: requirements.txt · Pipfile.lock
live免费扫描

立即扫描您的Python项目 — 无需账户

Upload your requirements.txt and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...