Skip to main content

CVE-2025-66205

Summary

특정 API 엔드포인트에서 사용자 입력이 SQL 쿼리에 직접 포함되며, 인자 검증이 부재하여 공격자가 에러 기반 SQL 인젝션을 수행할 수 있음 원격 공격자는 악의적 파라미터를 통해 데이터 유출, 데이터 변조, 추가 공격 기반 확보가 가능

1. 취약점 사례 조사

CVE-2025-66205

영향 대상

  • 제품/프레임워크: Frappe — 특정 버전 이전 (버전 < 15.86.0 또는 < 14.99.2) 인스턴스가 영향 대상

취약점 유형

  • Error-based SQL Injection: 파라미터 검증 부족으로 인해, HTTP 요청 파라미터가 SQL 쿼리에 안전하게 처리되지 않아 SQL 인젝션 가능.

발견 · 공개 시점

  • CVE ID “CVE-2025-66205” 로 2025-12-01에 공개됨. CVE Details+1
  • 수정된 버전(패치)은 Frappe 15.86.0 과 14.99.2 이후 버전에서 제공됨.

2. 취약점 위험도 / 심각도 분석 (CVSS 스코어 기반)

공개된 CVSS 점수

  • NVD (및 패치 어드바이저 기준) CVSS v3.1 기본 점수: 9.8 (Critical), 벡터: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • 일부 취약점 요약에서는 낮은 권한(PR:L) 기준으로 7.1 (High) 점수가 병기되기도 함.

세부 요소 해석

  • 공격자 위치 (AV:N): Network — 원격 접근 가능.
  • 공격 난이도 (AC:L): Low — 복잡성 낮음.
  • 권한 (PR:N 또는 PR:L): 대부분 권한 불필요 또는 낮은 권한으로 평가됨. NVD 기준은 PR:N.
  • 사용자 상호작용 (UI:N): 필요 없음.
  • 영향 (기밀성 Confidentiality C:H, 무결성 Integrity I:H, 가용성 Availability A:H): NVD/공시에서는 모두 H로 보고 — 데이터 유출, 조작, 잠재적 시스템 영향 가능.

→ 요약: 원격 익명(또는 낮은 권한) 공격자도 비교적 쉽게 공격할 수 있고, 성공 시 데이터 유출/변조 + 잠재적 시스템 피해란 점에서 심각한 리스크(Critical) 로 분류됨

3. CVE → CWE 연결 분석

주요 CWE

  • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') — 외부 입력을 안전하게 처리하지 않고 SQL 쿼리에 포함한 전형적인 SQL Injection 약점.

파생 가능성

  • 민감 정보 유출: 데이터베이스 내부 정보(계정, 설정, 버전, 사용자 데이터 등)를 에러 기반 SQLi로 조회 가능.
  • 추가 공격의 발판: 버전 정보 획득 → 해당 버전의 알려진 다른 취약점 탐색 및 체인 공격 가능.
  • (잠재적으로) 권한 확대 또는 데이터 조작: SQL Injection을 통해 단순 조회뿐 아니라 경우에 따라 삽입/변경이 가능하면 무결성/가용성 피해 가능.

4. PoC

해당 CVE에 대한 PoC 검증은 확인 할 수 없는 대신 패치 내역은 확인 할 수 있었음. fix(sanitize_fields): use sqlparse for function detection · frappe/frappe@984c641 · GitHub

5. 유사 사례 비교

  • CVE-2025-55732 CVE-2025-52895의 공식 패치를 우회하는 SQL 인젝션 취약점으로, 특수하게 제작된 요청을 통해 민감한 정보에 접근할 수 있음. 15.74.2와 14.96.15 버전에서 수정됨 CVSS 8.7 - High로 평가됨
  • CVE-2025-52895 입력 검증 불충분으로 인한 SQL 인젝션 취약점. 특수하게 제작된 요청을 통해 백엔드 SQL 쿼리를 조작하여 데이터베이스 내용에 무단 접근 할 수 있음. CVSS 8.7- High로 평가됨
  • CVE-2025-55731 인증 없이 네트워크를 통해 공격 가능한 SQL 취약점. 데이터 유출이나 시스템 침해로 이어질 수 있음 CVSS 8.8 - High로 평가 되었고 15.74.2와 14.96.15에서 수정됨

모든 사례에서 사용자 입력이 데이터베이스 쿼리에 직접 통합되어 악의저인 SQL 코드 삼입이 가능 했으며, CVE-2025-66205를 포함한 여러 취약점은 데이터베이스 오류 메시지를 분석하여 테이블명, 컬럼명 등 데이터베이스 구조에 대한 정보를 획득 하는 에러 기반 SQL 인젝션 방식을 사용함. CVE-2025-5573는 CVE-2025-52895의 패치를 우회하는 사례로, Frappe 프레임워크에서 유사한 취약점이 지속적으로 재발하고 있음을 보여줌

참고문헌

NVD: CVE-2025-66205 상세 정보. https://nvd.nist.gov/vuln/detail/CVE-2025-66205

GitHub Advisory / 패치 커밋: Frappe security advisory GHSA-mp93-8vxr-hqq9 및 커밋 984c641bff9539b6126a01146096f133db6a955b. https://www.cvedetails.com/cve/CVE-2025-66205/ https://blog.gowrishankar.me/2025/12/01/critical-sql-injection-vulnerability-patched-in-frappe-framework-cve-2025-66205/ dbugs (Positive Technologies) 취약점 설명 페이지. https://dbugs.ptsecurity.com/vulnerability/PT-2025-48549

Tenable 취약점 요약 페이지. https://www.tenable.com/cve/CVE-2025-66205

블로그 요약글: “Critical SQL Injection Vulnerability Patched In Frappe Framework (CVE-2025-66205)” — 기술 개요 포함. https://blog.gowrishankar.me/2025/12/01/critical-sql-injection-vulnerability-patched-in-frappe-framework-cve-2025-66205/ https://securityvulnerability.io/vulnerability/CVE-2025-66205