CVE-2025-66438

Nome do Software Vulnerável e Versões Afetadas Versões do Frappe ERPNext até a 15.89.0

Descrição Uma questão de Injeção de Template no Lado do Servidor (SSTI) existe no mecanismo de renderização de Formato de Impressão. A API frappe.www.printview.get html and style() aciona a renderização do campo html dentro de um documento de Formato de Impressão usando frappe.render template(template, doc) via cadeia de chamadas get rendered template(). Embora o ERPNext utilize um SandboxedEnvironment para Jinja2, ele expõe funções sensíveis como frappe.db.sql através de get safe globals(). Um atacante autenticado com permissão para criar ou modificar um Formato de Impressão pode injetar expressões Jinja arbitrárias no campo html. Após salvar o Formato de Impressão malicioso, o atacante pode chamar get html and style() com um documento alvo para acionar a renderização, potencialmente levando à divulgação de informações do banco de dados, incluindo versão do banco de dados e detalhes do esquema, dependendo do payload injetado. O fluxo de exploração envolve criar um Formato de Impressão com um payload SSTI no campo html, chamar a API get html and style(), que então aciona frappe.render template(template, doc) dentro de get rendered template(), e finalmente vaza informações do banco de dados via frappe.db.sql ou outras globais expostas.

Recomendações Versões anteriores à 15.89.0 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.