漏洞描述
在 Frappe ERPNext 15.89.0 及更早版本的 get_dunning_letter_text 方法中存在 SSTI(服务器端模板注入)漏洞。该函数使用 frappe.render_template() 渲染攻击者可控的 Jinja2 模板(body_text),并使用用户提供的上下文(doc)。尽管 Frappe 使用了自定义的 SandboxedEnvironment,但通过 get_safe_globals() 仍有多个危险的全局变量(如 frappe.db.sql)可在执行上下文中使用。拥有配置催款类型及其子表催款信函文本权限的已认证攻击者可以注入任意 Jinja 表达式,从而在受限但仍不安全的上下文中实现服务器端代码执行。这可能导致数据库信息泄露。