Plataforma
erpnext
Componente
frappe/frappe
Corregido en
14.99.7
15.0.1
El CVE-2025-68953 describe una vulnerabilidad de Path Traversal en el framework web Frappe. Esta falla permite a un atacante acceder a archivos sensibles del servidor debido a la falta de sanitización adecuada en ciertas solicitudes. Las versiones afectadas son aquellas menores o iguales a 15.0.0 y menores a 15.88.1. La vulnerabilidad ha sido solucionada en las versiones 14.99.6 y 15.88.1.
Un atacante que explote esta vulnerabilidad de Path Traversal podría leer archivos arbitrarios del servidor Frappe, incluyendo archivos de configuración, código fuente, o datos sensibles almacenados en el sistema de archivos. Esto podría conducir al robo de información confidencial, la modificación de la configuración del sistema, o incluso la ejecución remota de código si se encuentran archivos ejecutables accesibles. La falta de sanitización en las solicitudes permite a un atacante manipular las rutas de los archivos para acceder a recursos no autorizados. La severidad de este impacto se agrava si el servidor Frappe aloja información crítica o se integra con otros sistemas sensibles.
Este CVE fue publicado el 2026-01-05. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneos automatizados y explotación por parte de actores maliciosos. La vulnerabilidad no se encuentra en el KEV de CISA. Se recomienda monitorear los registros del servidor para detectar intentos de acceso a archivos no autorizados.
Organizations deploying Frappe Framework applications, particularly those using older versions (≤ 15.0.0, < 15.88.1), are at risk. Shared hosting environments where multiple applications share the same server infrastructure are also particularly vulnerable, as a successful attack on one application could potentially compromise others.
• linux / server: Monitor web server access logs for unusual file requests containing directory traversal sequences (e.g., ../).
grep -i '../' /var/log/apache2/access.log• generic web: Use curl to test for path traversal vulnerabilities by appending directory traversal sequences to URLs.
curl 'http://your-frappe-instance/../../../../etc/passwd'• python: Review Frappe Framework code for instances where user-supplied input is used to construct file paths without proper sanitization.
disclosure
Estado del Exploit
EPSS
0.07% (21% percentil)
CISA SSVC
Vector CVSS
La solución definitiva es actualizar a la versión 14.99.6 o 15.88.1 de Frappe Framework. Si la actualización inmediata no es posible, se recomienda implementar un proxy inverso como medida de mitigación. Un proxy inverso puede actuar como una capa de seguridad adicional, validando y filtrando las solicitudes antes de que lleguen al servidor Frappe. Además, revise la configuración del servidor para asegurar que los permisos de los archivos y directorios estén correctamente configurados, limitando el acceso a los recursos sensibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes de archivos no autorizados devuelvan un error 403 (Forbidden).
Actualice Frappe a la versión 14.99.6 o superior, o a la versión 15.88.1 o superior. Como alternativa, configure un proxy inverso para mitigar la vulnerabilidad de path traversal. Esto ayudará a sanitizar las solicitudes y prevenir el acceso a archivos arbitrarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68953 is a Path Traversal vulnerability affecting Frappe Framework versions ≤ 15.0.0 and < 15.88.1, allowing attackers to potentially retrieve arbitrary files from the server.
You are affected if you are using Frappe Framework versions 14.99.5 and below, or versions 15.0.0 through 15.80.1. Upgrade to 14.99.6 or 15.88.1 to mitigate the risk.
Upgrade to Frappe Framework version 14.99.6 or 15.88.1. As a temporary workaround, configure a reverse proxy to sanitize incoming requests.
No active exploitation campaigns have been reported, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official Frappe Framework security advisories on their website for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.