漏洞描述
在 Frappe ERPNext 15.89.0 及更早版本的 get_contract_template 方法中存在 SSTI(服务器端模板注入)漏洞。该函数使用 frappe.render_template() 渲染攻击者可控的 Jinja2 模板(contract_terms),并使用用户提供的上下文(doc)。尽管 Frappe 使用了自定义的 SandboxedEnvironment,但通过 get_safe_globals() 仍有多个危险的全局变量(如 frappe.db.sql)可在执行上下文中使用。拥有创建或修改合同模板权限的已认证攻击者可以在 contract_terms 字段中注入任意 Jinja 表达式,从而在受限但仍不安全的上下文中实现服务器端代码执行。该漏洞可被用于泄露数据库信息。