PT-2025-52668 · Frappe · Frappe Framework

Vuquyen03

Publicado

2025-12-22

Atualizado

2026-01-02

CVE-2025-67289

CVSS v3.1

9.6

Crítica

Vetor

AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas Frappe Framework versão 15.89.0

Descrição Existe uma falha no módulo Attachments que permite o upload arbitrário de arquivos. A exploração bem-sucedida, envolvendo o upload de um arquivo XML especialmente criado, pode levar à execução de código arbitrário.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

RCE

XSS

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-434

Identificadores relacionados

CVE-2025-67289

Produtos afetados

Frappe Framework

PT-2025-52668 · Frappe · Frappe Framework

CVE-2025-67289

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 13