V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides,nvd

Frappe

Уязвимости
149
Эксплуатируемые
0
Критический
14
Высокий
40

Топ уязвимостей

CVE-2026-44442ERPNext - это бесплатный инструмент планирования ресурсов предприятия с открытым исходным кодом. До 16.9.1 некоторые конечные точки не смогли обеспечить надлежащую проверку авторизации, что позволило пользователям изменять данные за пределами их разрешенной роли. Эта уязвимость зафиксирована в 16.9.1.
CVE-2026-38431ERPNext v15.103.1 и ранее уязвим для впрыска шаблонов на стороне сервера (SSTI). Злоумышленник с разрешением на создание или редактирование шаблонов электронной почты может вводить выражения шаблонов, которые выполняются на сервере при вводе шаблона.
CVE-2025-66205Frappe - это полнотактная веб-прикладная структура. До 15,86,0 и 14.99.2 определенная конечная точка была уязвима для впрыска SQL на основе ошибок из-за отсутствия проверки параметров. Некоторая информация, такая как версия, может быть получена. Эта уязвимость зафиксирована в пунктах 15.86.0 и 14.99.2.
CVE-2023-42807Frappe LMS - это система управления обучением с открытым исходным кодом. В версиях 1.0.0 и более ранних на странице People Page of LMS была уязвимость SQL-инъекции. Проблема была исправлена в ветке `main`. Пользователи не столкнутся с этой проблемой, если они используют последнюю основную ветку приложения.
CVE-2019-14965Проблема обнаружена в Frappe Framework с 10 по 12 версии до 12.0.4. Существует проблема внедрения шаблонов на стороне сервера (SSTI).
CVE-2025-67289Уязвимость произвольной загрузки файлов в модуле Attachments Frappe Framework v15.89.0 позволяет злоумышленникам выполнять произвольный код путем загрузки созданного XML-файла.
CVE-2026-39405Frappe Learning Management System (LMS) - это система обучения, которая помогает пользователям структурировать свой контент. В версиях 2.50.0 и ниже пользователь с ролью редактирования курса может загрузить пакет SCORM ZIP для записи файлов за пределами предполагаемого каталога. Этот вопрос решен в версии 2.50.1.
CVE-2026-35614Frappe - это полнотаксная веб-приложения. До 16.14.0 и 15.104.0, Фраппе имеет SQL-инъекцию в bulk_update. Эта уязвимость зафиксирована в 16.14.0 и 15.104.0.
CVE-2026-31877Frappe - это полнотактная веб-приложения. До 15.84.0 и 14.99.0 специально созданный запрос, сделанный на определенную конечную точку, может привести к инъекции SQL, позволяя злоумышленнику извлекать информацию, которую он иначе не смог бы. Эта уязвимость зафиксирована в пунктах 15.84.0 и 14.99.0.
CVE-2026-27471ERP - это бесплатный инструмент планирования ресурсов предприятия с открытым исходным кодом. В версиях до 15.98.0 и 16.0.0-rc.1 и до 16.6.0 определенные конечные точки не имели проверки доступа, что позволяло несанкционированный доступ к документам. Эта проблема была исправлена в версиях 15.98.1 и 16.6.1.
CVE-2026-31017Уязвимость Server-Side Request Forgery (SSRF) существует в функциональности печатного формата ERPNext v16.0.1 и Frappe Framework v16.1.1, где поставляемый пользователям HTML недостаточно продезинфицируется перед переводом в PDF. При генерации PDF-файлов из контролируемого пользователем HTML-контента приложение позволяет включать элементы HTML, такие как <iframe>, которые ссылаются на внешние ресурсы. движок рендеринга PDF автоматически забирает эти ресурсы на стороне сервера. Злоумышленник может злоупотреблять этим поведением, чтобы заставить сервер делать произвольные HTTP-запросы на внутренние службы, включая конечные точки метаданных в облаке, что потенциально может привести к раскрытию конфиденциальной информации.
CVE-2025-58439ERP - это бесплатный инструмент планирования ресурсов предприятия с открытым исходным кодом. В версиях ниже 1489.2 и 15.0 до 15.75.1 отсутствие проверки параметров сделало определенные конечные точки уязвимыми для впрыскивания SQL на основе ошибок. Некоторая информация, такая как версия, может быть получена. Этот выпуск исправлен в версиях 14.89.2 и 15.76.0.
CVE-2025-68929Frappe - это полнотактная веб-приложения. До версий 14.99.6 и 15.88.1 аутентифицированного пользователя с определенными разрешениями можно было обмануть в доступе к специально созданной ссылке. Это может привести к исполнению вредоносного шаблона на сервере, что приведет к удаленному исполнению кода. Версии 14.99.6 и 15.88.1 исправить проблему. Известные обходные действия не доступны.
CVE-2025-65267В ERPNext v15.83.2 и Frappe Framework v15.86.0 неправильная проверка загруженных изображений аватара SVG позволяет злоумышленникам встраивать вредоносный JavaScript. Полезная нагрузка выполняется, когда администратор нажимает на ссылку изображения для просмотра аватара, в результате чего осуществляется просмотр сценариев через сайт (XSS). Успешная эксплуатация может привести к захвату счетов, эскалации привилегий или полному компромиссу затронутого экземпляра ERPNext.
CVE-2026-29081Frappe - это полнотаксовая веб-приложения. До версий 14.100.1 и 15.100.0 конечная точка была уязвима для инъекций SQL через специально созданные запросы, которые позволили бы злонамеренному субъекту извлекать конфиденциальную информацию. Этот выпуск был исправлен в версиях 14.100.1 и 15.100.0.
CVE-2025-66440Проблема была обнаружена в Frappe ERPNext до 15.89.0. Функция get_outstanding_reference_documents() на erpnext/accounts/doctype/payment_entry/payment_entry.py уязвима для SQL Injection. Это позволяет злоумышленнику извлекать произвольные данные из базы данных, вводя SQL полезные нагрузки через параметр to_posting_date, который непосредственно интерполируется в запрос без надлежащей дезинфекции или привязки параметров.
CVE-2025-66439Проблема была обнаружена в Frappe ERPNext до 15.89.0. Функция get_outstanding_reference_documents() на erpnext.accounts.doctype.payment_entry.py уязвима для инъекций SQL. Это позволяет злоумышленнику извлекать произвольные данные из базы данных, вводя полезные нагрузки SQL через параметр from_posting_date, который непосредственно интерполируется в запрос без надлежащей дезинфекции или привязки параметров.
CVE-2025-66438Уязвимость с помощью шаблона сервера (SSTI) существует в механизме рендеринга формата печати Frappe ERPNext до 15.89.0. В частности, API frappe.www.printview.get_html_and_style() запускает рендеринг поля html внутри документа Print Format с использованием frappe.render_template(template, doc) через цепочку вызова get_rendered_template(). Хотя ERPNext заворачивает Jinja2 в SandboxedEnvironment, он выставляет чувствительные функции, такие как frappe.db.sql, через get_safe_globals(). Аутентифицированный злоумышленник с разрешением на создание или изменение формата печати может вводить произвольные выражения Jinja в поле html. После сохранения вредоносного формата печати злоумышленник может вызвать get_html_and_style() с целевым документом (например, поставщиком или счетом-фактурой продаж), чтобы запустить процесс рендеринга. Это приводит к раскрытию информации из базы данных, такой как версия базы данных, данные схемы или чувствительные значения, в зависимости от вводимой полезной нагрузки. Поток эксплуатаций: Создайте формат печати с полезной нагрузкой SSTI в поле html; вызовите get_html_and_style() API; триггеры frappe.render_template(template, doc) внутри get_rendered_template(); утечки информации базы данных через frappe.db.sql или другие открытые глобалы.
CVE-2025-66437Уязвимость SSTI (Server-Side Template Injection) существует в методе get_address_display от Frappe ERPNext до 15.89.0. Эта функция отображает шаблоны адресов с использованием frappe.render_template() с контекстом, полученным из параметра address_dict, который может быть либо словарем, либо строкой, ссылающейся на адресный документ. Хотя ERPNext использует пользовательский Jinja2 SandboxedEnvironment, опасные функции, такие как frappe.db.sql, остаются доступными через get_safe_globals(). Аутентифицированный злоумышленник с разрешением на создание или изменение шаблона адреса может вводить произвольные выражения Jinja в поле шаблона. Создавая Адресный документ с соответствующей страной, а затем вызывая API get_address_display с адресом_dict="address_name», система будет отображать вредоносный шаблон с помощью данных, контролируемых злоумышленником. Это приводит к выполнению кода сервера или раскрытию информации о базе данных.
CVE-2025-66434Уязвимость SSTI (Server-Side Template Injection) существует в методе get_dunning_letter_text frappe ERPNext через 15.89.0. Функция отображает управляемые злоумышленником Jinja2 шаблоны (body_text) с использованием frappe.render_template() с пользовательского контекста (doc). Хотя Frappe использует пользовательскую SandboxedEnvironment, несколько опасных глобальных, таких как frappe.db.sql, по-прежнему доступны в контексте исполнения через get_safe_globals(). Аутентифицированный злоумышленник с доступом к настройке типа Dunning Type и его детской таблице Dunning Letter Text может вводить произвольные выражения Jinja, что приводит к исполнению кода на стороне сервера в ограниченном, но все еще небезопасном контексте. Это может утечка информации о базе данных.
CVE-2025-55006Frappe Learning - система обучения, которая помогает пользователям структурировать контент. В версиях 2.33.0 и ниже функциональность загрузки изображений не достаточно проверяет загружаемые SVG-файлы. Это позволяет пользователям загружать SVG-файлы, содержащие встроенный JavaScript или другой потенциально вредоносный контент. Вредоносные SVG-файлы могут быть использованы для выполнения произвольных скриптов в контексте других пользователей. Исправление запланировано для версии 2.34.0 [1]. Источники: - [1] https://github.com/frappe/lms/security/advisories/GHSA-mvxw-r9x4-3vrr
CVE-2020-6145В функциональности frappe.desk.reportview.get ERPNext 11.1.38 существует уязвимость SQL-инъекции. Специально созданный HTTP-запрос может вызвать SQL-инъекцию. Злоумышленник может выполнить аутентифицированный HTTP-запрос, чтобы вызвать эту уязвимость.
CVE-2019-14966Проблема обнаружена в Frappe Framework с 10 по 12 версии до 12.0.4. Существует аутентифицированная SQL-инъекция.
CVE-2018-3885В аутентифицированной части ERPNext v10.1.6 существует уязвимость SQL-инъекции, которую можно использовать. Специально созданные веб-запросы могут вызвать SQL-инъекции, приводящие к компрометации данных. Параметр order_by можно использовать для выполнения атаки SQL-инъекции. Злоумышленник может использовать браузер для вызова этих уязвимостей, и никакие специальные инструменты не требуются.
CVE-2018-3884В аутентифицированной части ERPNext v10.1.6 существует уязвимость SQL-инъекции, которую можно использовать. Специально созданные веб-запросы могут вызвать SQL-инъекции, приводящие к компрометации данных. Параметры sort_by и start можно использовать для выполнения атаки SQL-инъекции. Злоумышленник может использовать браузер для вызова этих уязвимостей, и никакие специальные инструменты не требуются.
Открыть в каталоге с фильтром по вендору →