jshERP(华夏ERP)在国内拥有庞大的用户量。这次爆出的 CVE-2025-60801 漏洞非常狡黠:攻击者无需破解密码,甚至不用知道你的后台地址,仅仅在 URL 里加几个连续的分号
..;1=1,就能像开挂一样绕过登录限制,直接窃取数据库里的所有核心秘密。
一、 漏洞速览:80ms 绕过防线,核心数据一览无余
- 漏洞名称:jshERP 系统存在路径穿越导致的权限绕过漏洞
- CVE 编号:CVE-2025-60801
- CVSS 3.1 评分:8.2(高危)
- 漏洞类型:远程未授权访问、权限绕过
- 攻击方式:远程利用,无需任何权限,无需用户交互
- 利用难度:低(PoC/EXP 已公开)
- 受影响版本:jshERP up to commit fbda24da
- 官方状态:尚未官方发布通用修复补丁
- 受影响组件:Spring Security 路径匹配机制
- 核心危害:未授权攻击者可直接访问应该受权限保护的敏感 API 端点,获取用户信息等机密数据。
想象一下,无论谁在地址栏敲入一个链接,就能看到你后台的用户表、供应商清单甚至资金流水——这就是这场漏洞的可怕之处。
二、 攻击拆解:一个分号;是如何“骗过”安全机制的
攻击者不需要提交复杂的 POST 数据包,只需要构造一个看起来十分诡异的浏览器链接。
URL 中的“分号” ; 在 Servlet/Jakarta EE 规范中叫做 Path Parameter(路径参数)。攻击者在被限制的路径/webjars/swagger-ui/css/后面插入..;1=1,试图通过它跳出当前目录。
当 Web 服务器收到这个链接时,它可能会将..;1=1识别为“忽略分号后的内容,直接返回上级目录”,从而将路径改写为/user/info。请求被路由到/user/info接口,并直接返回所有数据。
三、 攻击流程详解
第一步:寻找注入点
大多数网站后台的权限验证依赖 Spring Security 的路径匹配规则。攻击者只需要找到一个放开的静态资源路径(如 Swagger UI、CSS 或图片库),在其中插入特殊序列..;1=1。
第二步:构造攻击 URL
攻击者在公开的 Swagger UI 路径/webjars/swagger-ui/css/后注入目录回溯符:
/webjars/swagger-ui/css/..;1=1/..;1=1/..;1=1/user/info写一段简单的脚本配合while循环,就能不停更换遍历的 ID,把所有用户信息、商品订单、供应商机密全部打包带走。
第三步:接收战利品
目标服务器误以为在访问公开的静态资源,放开了限制。实际后台的/user/info等受限接口被成功调用,系统毫不设防地将机密数据吐给了攻击者。
四、 漏洞危害:从数据窥探到系统沦陷
- 严重的数据泄露:数据库被批量导出,包含销售数据、客户联系方式;后台管理员用户名和密码哈希值(甚至明文)被窃取。
- 账号全面接管:利用窃取的管理员账号密码登录后台,甚至可以创建自己的管理员影子账户,彻底占据系统主动权。
- 供应链污染与扩展攻击:通过 SQL 注入或者后台插件上传功能,上传 Webshell 或勒索病毒,整个公司内网沦陷。
五、 百度云防护:给系统装上“零日盾牌”
在官方补丁正式发布之前的“空窗期”,服务器几乎处于不设防状态。最好的防御策略就是主动将它“包裹”起来——在网络流量层面,也就是 Web 应用防火墙(WAF)层面,将恶意的穿透和注入彻底拦截。
5.1 内置规则 ID 4231,已配置即防护
规则名称:Privilege_bypass.CVE-2025-60801.A
规则 ID:4231
风险等级:中风险
防护类型:权限绕过
上线时间:2026 年 4 月 22 日
受影响组件:jshERP(华夏ERP)
百度云防护的 WAF 团队在漏洞细节公开后的第一时间即上线了专项攻击检测规则。该规则重点识别并拦截类似..;1=1的路径参数注入行为,无论是用哪种编码方式,均能被“一眼识破”。
5.2 规则是如何工作的?
- 检测路径参数注入:专门识别 URL 路径中出现的
..;语法以及后续的参数特征。 - 解码绕过检测:自动解码
..%3B1%3D1等编码混淆。 - 权限类接口访问控制:检测匿名用户试图访问
/user/info、/user/updatePwd等高危权限接口的行为。
注意:WAF 规则只能拦截流量层面的攻击尝试,并不能修复代码层面的缺陷。因此,漏洞的实际修复仍然需要等待官方补丁并升级代码。WAF 的作用是防止漏洞在补丁发布前被黑客利用,为企业争取修复时间。
5.3 规则启用步骤
- 已经接入百度云防护:登录控制台 → 防护配置 → Web防护 → 内置规则 → 搜索规则 ID 4231,确认状态为“开启”,动作为“拦截”。
- 还没接入:联系主机吧申请百度云防护接入,免费安全评估和试用。
六、 总结
jshERP 是承载企业生命线数据的核心系统,CVE-2025-60801 漏洞使得这些数据在攻击者面前几乎没有安全可言。除了尽快联系官方获取代码层修复外,当务之急就是为你的业务系统穿上“防弹衣”。
百度云防护 WAF 凭借实时更新的智能规则库,在黑客发起攻击的第一毫秒就将其扼杀在摇篮里。如果你使用的版本还在未修复列表内,或者需要替换昂贵的硬件防火墙,欢迎联系主机吧,我们会为你部署立即可用的防御策略。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一次穿越都无功而返,让每一份企业数据都寸步难移。
