文章总结： ERPNextv15.103.1及更早版本存在服务器端模板注入漏洞，允许具有邮件模板编辑权限的攻击者通过注入恶意模板表达式执行任意代码。文档通过具体复现步骤演示了如何利用该漏洞查询数据库数据，并建议升级至补丁版本>v15.103.1进行修复。 综合评分： 82 文章分类： 漏洞分析,WEB安全,应用安全,漏洞预警

【漏洞复现】ERPNext存在模板注入（SSTI）漏洞

信通云服

2026年5月7日 17:06 海南

在小说阅读器读本章

去阅读

【漏洞描述】

组件介绍

ERPNext 是一款基于 Python 和 Node.js开发的开源 ERP 系统，功能覆盖会计、CRM、销售、采购、库存、制造、项目管理、人力资源、网站与电商等多个模块，并且内置了中国会计科目表，在中国市场的本地化方面有一定优势。

漏洞简介

ERPNext v15.103.1及更早版本中的服务器端模板注入（SSTI）使拥有邮件模板创建或编辑权限的认证攻击者能够在服务器端渲染时执行任意模板表达式。攻击者可以注入恶意模板代码，在模板渲染时进行处理，可能导致代码在服务器上执行。

【漏洞复现】

1、创建一个邮件模板，并添加payload查询tabUser表数据。

{{ frappe.db.sql("select * from tabUser") }}

2、添加新邮件，并选择刚创建携带payload的模板，随后点击添加模板，语句成功被执行。

【修复建议】

补丁版本>v15.103.1

【参考链接】

https://c0wking.hashnode.dev/ssti-in-erpnext-frappe-email-template-engine

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信通云服 《【漏洞复现】ERPNext存在模板注入（SSTI）漏洞》