CVE-2025-66436

Nome do Software Vulnerável e Versões Afetadas Versões do Frappe ERPNext até a 15.89.0

Descrição Existe uma vulnerabilidade de SSTI (Injeção de Template no Lado do Servidor) no método get terms and conditions. A função renderiza templates Jinja2 controlados pelo invasor (terms) utilizando frappe.render template() com um contexto fornecido pelo usuário (doc). Embora um SandboxedEnvironment personalizado seja utilizado, globais perigosos como frappe.db.sql permanecem acessíveis através de get safe globals(). Um invasor autenticado que possa criar ou modificar documentos de Termos e Condições pode injetar expressões Jinja arbitrárias no campo terms, resultando na execução de código no lado do servidor dentro de um contexto limitado. Isso pode permitir o vazamento de informações do banco de dados.

Recomendações Versões anteriores a 15.89.0 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.