Press
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
6.9
Макс. EPSS
0.00479
Распределение по критичности
Критический
0
Высокий
0
Средний
2
Низкий
3
Затронутые диапазоны версий
< 0.16.0< 0.9.0< 5d118a902872d7941f099ad1fb918e2421e79ccd< 83c3fc7676c5dbbe1fd5092d21d95a10c7b48615< ba0007c28ac814260f836849bc07d29beea7deb6< ddb439f8eb1816010f2ef653a908648b71f9bba8
Также сопоставлено как (исходные строки): press
Топ уязвимостей
CVE-2025-53545Press, пользовательское приложение Frappe, которое запускает Frappe Cloud, управляет инфраструктурой, подписками, рынком и программным обеспечением как услугой (SaaS). Пользователи могут обойти вход с помощью 2FA из-за отсутствия проверки на стороне сервера. Эта уязвимость исправлена в коммите ddb439f8eb1816010f2ef653a908648b71f9bba8 [1][2].
Уязвимость позволяет пользователям обойти двухфакторную аутентификацию (2FA) из-за отсутствия проверки на стороне сервера. Исправление доступно в коммите ddb439f8eb1816010f2ef653a908648b71f9bba8.
Источники:
- [1] https://github.com/frappe/press/security/advisories/GHSA-fwfh-vhjg-45q4
- [2] https://github.com/frappe/press/commit/ddb439f8eb1816010f2ef653a908648b71f9bba8
CVE-2026-41317Press, специальное приложение Frappe, которое работает под управлением Frappe Cloud, управляет инфраструктурой, подпиской, рынком и программным обеспечением как услуга (SaaS). < <press.api.account.create_api_secret` «Sapre». Эта конечная точка записывается в базу данных, и она также доступна с помощью метода GET. Патч в commit 52ea2f2d1b587be0807557e96f025f47897d00f,00f 00 младенце подходит для POST.
CVE-2025-59421В Press, приложении Frappe, которое управляет инфраструктурой Frappe Cloud, обнаружена уязвимость, позволяющая злоумышленнику наводнить почтовый ящик пользователя путем повторной отправки приглашений (дубликатов). Проблема исправлена в коммите 83c3fc7676c5dbbe1fd5092d21d95a10c7b48615 [1].
Источники:
- [1] https://github.com/frappe/press/security/advisories/GHSA-68qm-vp8f-rpr3
- [2] https://github.com/frappe/press/commit/83c3fc7676c5dbbe1fd5092d21d95a10c7b48615
CVE-2026-41430Press, специальное приложение Frappe, которое работает под управлением Frappe Cloud, управляет инфраструктурой, подпиской, рынком и программным обеспечением как услугой (SaaS). Параметр перенаправления на странице входа уязвим для отраженных XSS. Патч в commit 16d1b6ca2559f859f858a17de77bcb03f7f7f1b8167c6 исправляет проблему, ограничивая перенаправления только внутренними URL-адресами.
CVE-2024-49751Press, пользовательское приложение Frappe, которое работает в Frappe Cloud, управляет инфраструктурой, подпиской, торговой площадкой и программным обеспечением как услугой (SaaS). До коммита 5d118a902872d7941f099ad1fb918e2421e79ccd пользователь мог внедрить HTML через входные данные регистрации SaaS. Пользователь, который внедрил небезопасный HTML-код, повлияет только на себя и не повлияет на других пользователей. Коммит 5d118a902872d7941f099ad1fb918e2421e79ccd исправляет эту ошибку.
CVE-2024-50356Press, пользовательское приложение Frappe, работающее в Frappe Cloud, управляет инфраструктурой, подпиской, торговой площадкой и программным обеспечением как услугой (SaaS). Пароль может быть сброшен любым, у кого есть доступ к почтовому ящику, в обход 2FA. Даже если они не смогут войти в систему, обойдя 2FA. Затронуты только пользователи, у которых включена 2FA. Коммит ba0007c28ac814260f836849bc07d29beea7deb6 исправляет эту ошибку.