خانه » CVE-2025-58439
هشدار‌های سایبری

CVE-2025-58439

ERP: Possibility Of SQL Injection Due To Missing Validation

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 6 بازدید
هشدار سایبری CVE-2025-58439
  • شناسه CVE-2025-58439 :CVE
  • CWE-89 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 6, 2025
  • به روز شده: سپتامبر 6, 2025
  • امتیاز: 8.1
  • نوع حمله: SQL Injection
  • اثر گذاری: Information Disclosure
  • حوزه: نرم افزارهای کاربردی
  • برند: frappe
  • محصول: erpnext
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در ابزار ERPNext نسخه‌های قبل از 14.89.2 و 15.0.0 تا 15.75.1 شناسایی شده است که به دلیل عدم اعتبارسنجی پارامترها در برخی endpointها، امکان تزریق SQL مبتنی بر خطا را فراهم می‌کند. این ضعف امنیتی می‌تواند منجر به افشای اطلاعات حساس مانند نسخه سیستم شود.

توضیحات

آسیب‌پذیری CVE-2025-58439 در ERPNext، یک ابزار متن باز مدیریت منابع سازمانی توسعه‌یافته توسط frappe، ناشی از عدم اعتبارسنجی کافی پارامترهای ورودی (مطابق با CWE-89) در برخی endpointها است. این ضعف در نسخه‌های پیش از 14.89.2 و نسخه‌های 15.0.0 تا 15.75.1 وجود دارد و به مهاجمان احراز هویت‌شده با دسترسی محدود اجازه می‌دهد با ارسال درخواست‌های مخرب، تزریق SQL مبتنی بر خطا error-based SQL Injection را انجام دهند.

مهاجم در این نوع حمله، ورودی‌های کاربر مانند پارامترهای URL یا فرم‌ها را به گونه‌ای طراحی می‌کند که باعث ایجاد خطا در کوئری SQL پایگاه داده شود. با تحلیل پیام‌های خطا یا رفتار پاسخ سرور، مهاجم می‌تواند ساختار پایگاه داده، نام جداول، ستون‌ها و حتی داده‌های حساس را استنتاج کند. این حمله به سطح دسترسی بالایی نیاز ندارد، اما مستلزم آن است که کاربر احراز هویت‌شده به سیستم دسترسی داشته باشد. در نتیجه، مهاجم می‌تواند بدون دسترسی مستقیم به سرور یا تعامل پیچیده با کاربر، اطلاعات حساس سازمان را استخراج کرده یا تغییر دهد.

این نوع تزریق SQL امکان استخراج اطلاعات حساس، مانند نسخه سیستم یا سایر داده‌های پایگاه داده را فراهم می‌کند و می‌تواند منجر به دستکاری داده‌ها یا نقض یکپارچگی سیستم شود. شدت این آسیب پذیری بالا بوده و از طریق شبکه قابل بهره‌برداری است و نیازی به تعامل کاربر ندارد/

با توجه به عدم وجود راهکار موقت، تنها اقدام مؤثر برای کاهش ریسک، به‌روزرسانی فوری نرم‌افزار به نسخه‌های پچ شده است. توسعه‌دهندگان Frappe این ضعف را در نسخه‌های 14.89.2 و 15.76.0 با افزودن اعتبارسنجی پارامترها و اصلاح endpointهای آسیب‌پذیر برطرف کرده‌اند.

CVSS

Score Severity Version Vector String
8.1 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

لیست محصولات آسیب پذیر

Versions Product
affected at >=15.0.0, < 15.76.0

affected at < 14.89.2

 erpnext

لیست محصولات بروز شده

Versions Product
15.76.0

14.89.2

 erpnext

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Frappe،  erpnext و ERP را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
53 Frappe/erpnext/ERP

 نتیجه گیری

با توجه عدم وجود راهکار موقت (workaround) برای این آسیب‌پذیری، تنها روش مؤثر کاهش ریسک، به‌روزرسانی فوری ERPNext به نسخه‌های پچ شده 14.89.2 یا 15.76.0 است. علاوه بر این، رعایت اقدامات تکمیلی امنیتی توصیه می‌شود تا حتی در صورت بهره‌برداری احتمالی پیش از به‌روزرسانی، اثرات آن محدود شود؛ این اقدامات شامل بازنگری و محدودسازی دسترسی کاربران با اعمال اصل حداقل دسترسی (Least Privilege)، نظارت و لاگ‌گیری فعال برای رصد فعالیت‌های مشکوک و بررسی درخواست‌های غیرعادی روی endpointها و همچنین آموزش تیم توسعه و امنیت در خصوص اهمیت اعتبارسنجی ورودی‌ها و بررسی کدهای سفارشی است. اجرای این اقدامات همراه با به‌روزرسانی به نسخه‌های پچ شده، امنیت سیستم ERPNext را تضمین کرده و ریسک بهره‌برداری از تزریق SQL را به حداقل می‌رساند.

امکان استفاده در تاکتیک های Attack  Mitre


  • Initial Access (TA0001)
    T1078 – Valid Accounts
    مهاجم با استفاده از حساب کاربری احراز هویت‌شده به سیستم ERPNext دسترسی اولیه پیدا می‌کند تا درخواست‌های SQL مخرب را ارسال کند.
  • Execution (TA0002)
    T1059 – Command and Scripting Interpreter
    تزریق SQL مبتنی بر خطا (error-based SQL Injection) امکان اجرای دستورات SQL مخرب را فراهم می‌کند و مهاجم می‌تواند داده‌ها را استخراج یا تغییر دهد.
  • Persistence (TA0003)
    T1505 – Server Software Component
    در صورت وجود قابلیت تغییر داده‌ها یا افزودن کدهای مخرب در پایگاه داده، مهاجم می‌تواند تغییراتی ایجاد کند که پس از راه‌اندازی مجدد سیستم باقی بماند.
  • Privilege Escalation (TA0004)
    T1068 – Exploitation for Privilege Escalation
    تزریق SQL ممکن است به مهاجم اجازه دهد از ضعف‌های پایگاه داده برای افزایش دسترسی یا استخراج اطلاعات کاربران دیگر بهره‌برداری کند.
  • Credential Access (TA0006)
    T1550 – Use of Application Access Tokens
    در صورت دسترسی به داده‌های حساس احراز هویت مانند hash رمزها یا توکن‌ها، مهاجم می‌تواند اعتبارنامه‌های کاربران دیگر را به دست آورد.
  • Impact (TA0040)
    T1499 – Endpoint Denial of Service / T1486 – Data Encrypted for Impact
    اجرای SQL Injection می‌تواند منجر به افشای اطلاعات حساس، دستکاری داده‌ها یا اختلال در عملکرد سیستم ERP شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-58439
  2. https://www.cvedetails.com/cve/CVE-2025-58439/
  3. https://github.com/frappe/erpnext/security/advisories/GHSA-fvjw-5w9q-6v39
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58439
  5. https://vuldb.com/?id.322965
  6. https://github.com/frappe/erpnext/pull/49219
  7. https://github.com/frappe/erpnext/pull/49220
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-58439
  9. https://cwe.mitre.org/data/definitions/89.html

همچنین ممکن است دوست داشته باشید

CVE-2025-58843

CVE-2025-10061

CVE-2025-9934

CVE-2025-9938

CVE-2025-10034

CVE-2025-10033

CVE-2025-58437

CVE-2025-58374

CVE-2025-7040

CVE-2025-9864

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.