漏洞描述
Frappe ERPNext 15.57.5 版本中,erpnext/projects/doctype/timesheet/timesheet.py 文件内的 get_timesheet_detail_rate() 函数存在 SQL 注入漏洞,该函数在处理 timelog 参数时未进行充分的过滤和参数化绑定,攻击者可构造恶意 SQL 语句注入后台数据库查询,从而获取数据库中的全部敏感信息。
ERPNext /api/method/erpnext.projects.doctype.timesheet.timesheet.get_timesheet_detail_rate SQL 注入漏洞(CVE-2025-52049)
PoC代码
暂无