免费扫描
HIGHCVE-2026-44447CVSS 8.8

CVE-2026-44447: SQL Injection in ERPNext

平台

php

组件

erpnext

修复版本

16.9.0

在NVD查看
保存

CVE-2026-44447 描述了 ERPNext 中的 SQL 注入漏洞。攻击者可以通过精心构造的请求利用此漏洞提取敏感信息,对企业数据安全构成威胁。此漏洞影响 ERPNext 0.0.0 及更早版本,以及低于 16.9.0 的版本。已发布安全补丁,建议尽快升级至 16.9.0。

影响与攻击场景

该 SQL 注入漏洞允许攻击者绕过身份验证和授权机制,直接访问数据库。攻击者可以执行任意 SQL 查询,从而读取、修改或删除数据库中的数据。受影响的数据可能包括客户信息、财务记录、订单详情、供应商数据等。成功利用此漏洞可能导致数据泄露、数据篡改、服务中断,甚至可能导致 ERPNext 系统的完全控制。由于 ERPNext 通常用于管理关键业务流程,因此该漏洞的影响范围可能非常广泛,可能对企业的运营和声誉造成严重损害。

利用背景

目前尚无公开的漏洞利用代码 (POC),但由于 SQL 注入漏洞的普遍性,存在被利用的风险。该漏洞已于 2026 年 5 月 13 日发布,目前尚未观察到大规模的利用活动。建议密切关注安全社区的动态,并及时采取必要的安全措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告1 份威胁报告

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件erpnext
供应商frappe
最低版本0.0.0
最高版本< 16.9.0
修复版本16.9.0

弱点分类 (CWE)

CWE-89

时间线

  1. 已保留
  2. 发布日期

缓解措施和替代方案

最有效的缓解措施是立即升级至 ERPNext 16.9.0 或更高版本。如果升级过程存在问题,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,可以实施一些额外的安全措施来降低风险,例如使用 Web 应用防火墙 (WAF) 过滤恶意请求,并对数据库访问进行严格的权限控制。建议定期审查 ERPNext 的配置,确保所有安全设置都已正确配置。升级后,请使用数据库审计工具验证漏洞是否已成功修复。

修复方法翻译中…

Actualice a la versión 16.9.0 o posterior para mitigar la vulnerabilidad de inyección SQL.  Verifique las notas de la versión para obtener instrucciones de actualización específicas y posibles cambios en la configuración.  Implemente validaciones de entrada robustas en todos los puntos de entrada de datos para prevenir futuras inyecciones SQL.

常见问题

什么是 CVE-2026-44447 — SQL 注入漏洞在 ERPNext 中?

CVE-2026-44447 描述了 ERPNext 0.0.0 及更早版本中存在的 SQL 注入漏洞,攻击者可以通过精心构造的请求提取敏感信息。

我是否受到 CVE-2026-44447 在 ERPNext 中影响?

如果您正在使用 ERPNext 0.0.0 及更早版本,或者低于 16.9.0 的版本,则可能受到此漏洞的影响。

如何修复 CVE-2026-44447 在 ERPNext 中?

升级至 ERPNext 16.9.0 或更高版本是修复此漏洞的最佳方法。

CVE-2026-44447 是否正在被积极利用?

目前尚未观察到大规模的利用活动,但由于 SQL 注入漏洞的普遍性,存在被利用的风险。

在哪里可以找到官方 ERPNext 关于 CVE-2026-44447 的公告?

请访问 ERPNext 官方网站或 GitHub 仓库,查找关于 CVE-2026-44447 的安全公告。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...