CVE-2023-54345

Nome do Software Vulnerável e Versões Afetadas Frappe Framework ERPNext versão 13.4.0

Descrição Uma fuga de sandbox no RestrictedPython permite que usuários autenticados com a função de System Manager executem código arbitrário por meio de introspecção de frame. Um invasor pode criar um script de servidor usando o endpoint '/app/server-script' e acessar o atributo gi frame para percorrer a pilha de chamadas e invocar os.popen() para executar comandos do sistema.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.