PT-2025-40353 · Frappe · Frappe Framework
Moalali
·
Publicado
2025-10-02
·
Atualizado
2025-10-02
·
CVE-2025-56380
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Frappe Framework versão 15.72.4
Descrição
Existe uma vulnerabilidade de injeção de SQL no Frappe Framework. O problema está localizado no parâmetro
fieldname do endpoint da API frappe.client.get value. Um script manipulado fornecido ao parâmetro fieldname pode explorar essa vulnerabilidade.Recomendações
Aplique uma correção para o Frappe Framework versão 15.72.4 para resolver a vulnerabilidade de injeção de SQL no endpoint da API
frappe.client.get value. Como solução temporária, restrinja o acesso ao endpoint da API frappe.client.get value ou sanitize o parâmetro fieldname para prevenir ataques de injeção de SQL.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Frappe Framework