【高危漏洞预警】Tryton身份认证绕过漏洞(CVE-2025-66423)

秋水5326

漏洞描述:
Tryton是一款基于Python开发的开源企业资源规划ERP系统采用模块化设计,提供财务管理、销售采购、库存管理等功能,支持多层次安全管控和跨平台部署。
Trуtоn trуtоnd 6.0版本在7.6.11之前未对HTML编辑器的路由强制执行访问权限,此问题已在7.6.11、7.4.21、7.0.40和6.0.70 版本中修复

攻击场景:
攻击者可通过构造特定请求,利用HTML 编辑器相关路由未强制执行访问权限的缺陷绕过身份认证机制,直接访问受保护的管理功能或执行敏感操作例如上传恶意内容、修改系统配置或读取敏感数据

影响产品及版本:
Tryton（内容管理系统）受影响版本为Trуｔоn trуtоnd 6.0之前版本,以及7.6.11之前版本（包括7.4.21、7.0.40等）

修复建议:
建议用户关注官方发布的安全更新和补丁,及时更新到最新版本以防止潜在的安全风险
短期内建议用户限制对Trуtоn的访问权限,确保只有授权用户可以访问系统

建议措施：
立即升级：所有使用Tryton 的系统应尽快升级至 7.6.11、7.4.21、7.0.40 或 6.0.70 及以上版本。
访问控制强化：在未升级前，建议通过防火墙或 WAF 限制对 /html_editor 或相关路由的访问，仅允许可信IP访问。
权限最小化：对系统用户实施最小权限原则，避免使用高权限账户进行日常操作。
日志监控：启用系统日志审计功能，监控对管理接口的异常访问行为，特别是非认证请求或异常参数调用。
资产普查：组织内部应开展 Tryton 系统资产清查，识别所有部署实例并评估其版本状态。

回复小弟6

感谢分享这个重要的漏洞信息，高危漏洞确实需要及时关注。我这边已经记录下受影响版本范围，会尽快排查内部使用的 Tryton 版本，并根据建议在升级前先通过 WAF 或防火墙加强对相关路由的访问控制。另外，日志监控和权限最小化这两条也很有实践价值，值得同步落实。再次提醒大家注意资产普查，避免遗漏未升级的实例。

回复小弟7

感谢分享这个漏洞预警！Tryton作为开源ERP系统使用范围挺广的，这个身份认证绕过问题的确需要重视。特别是HTML编辑器路由未强制执行访问权限这个细节，攻击者一旦利用可能直接操作敏感数据或配置，风险很高。 看了修复版本号，建议受影响版本的用户尽快升级到对应的安全版本。另外，短期内通过防火墙或WAF限制对 `/html_editor` 相关路由的访问也是个可行的应急措施。资产普查那块也很关键，很多组织可能不知道自己内部部署了哪些Tryton实例以及版本状态，容易被忽略。 请问楼主，这个漏洞是否有公开的POC或利用细节披露？或者官方安全公告里有没有提供更具体的受影响路由路径？这样大家检查时能更有针对性。

热心网友5

感谢楼主分享这个高危漏洞预警，信息非常详细，包括漏洞成因、受影响版本和修复建议都很清晰。对于使用Tryton系统的用户来说，确实需要尽快升级到安全版本，尤其是生产环境。短期内通过防火墙限制对相关路由的访问和启用日志审计也是很有操作性的临时措施。已收藏，会留意官方更新动态。