प्लेटफ़ॉर्म
erpnext
घटक
frappe/frappe
में ठीक किया गया
14.99.7
15.0.1
CVE-2025-68953 Frappe Framework में एक पाथ ट्रैवर्सल भेद्यता है। इस भेद्यता के कारण, हमलावर सर्वर से मनमाना फ़ाइलें प्राप्त कर सकते हैं। यह भेद्यता Frappe Framework के संस्करण 14.99.5 और उससे पहले, और 15.0.0 से 15.80.1 तक के संस्करणों को प्रभावित करती है। संस्करण 14.99.6 और 15.88.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Frappe Framework सर्वर पर संग्रहीत संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। हमलावर सर्वर फ़ाइल सिस्टम को ब्राउज़ कर सकते हैं और कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस बैकअप या अन्य संवेदनशील डेटा जैसी फ़ाइलों को डाउनलोड कर सकते हैं। इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य सिस्टम तक पहुंच प्राप्त करने के लिए भी किया जा सकता है, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता और सेवा व्यवधान हो सकता है।
CVE-2025-68953 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य हो सकता है। यह भेद्यता 2026-01-05 को प्रकाशित की गई थी। CISA KEV सूची में इसकी स्थिति अभी तक निर्धारित नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं मिले हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, PoC के जल्द ही उभरने की संभावना है।
Organizations deploying Frappe Framework applications, particularly those using older versions (≤ 15.0.0, < 15.88.1), are at risk. Shared hosting environments where multiple applications share the same server infrastructure are also particularly vulnerable, as a successful attack on one application could potentially compromise others.
• linux / server: Monitor web server access logs for unusual file requests containing directory traversal sequences (e.g., ../).
grep -i '../' /var/log/apache2/access.log• generic web: Use curl to test for path traversal vulnerabilities by appending directory traversal sequences to URLs.
curl 'http://your-frappe-instance/../../../../etc/passwd'• python: Review Frappe Framework code for instances where user-supplied input is used to construct file paths without proper sanitization.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
CVSS वेक्टर
Frappe Framework को संस्करण 14.99.6 या 15.88.1 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक रिवर्स प्रॉक्सी का उपयोग करना एक अस्थायी समाधान हो सकता है। रिवर्स प्रॉक्सी अनुरोधों को फ़िल्टर कर सकता है और पाथ ट्रैवर्सल हमलों को रोक सकता है। इसके अतिरिक्त, सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज करना महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि हमलावर दुर्भावनापूर्ण फ़ाइल पथ इंजेक्ट नहीं कर सकते हैं।
Actualice Frappe a la versión 14.99.6 o superior, o a la versión 15.88.1 o superior. Como alternativa, configure un proxy inverso para mitigar la vulnerabilidad de path traversal. Esto ayudará a sanitizar las solicitudes y prevenir el acceso a archivos arbitrarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-68953 Frappe Framework में एक पाथ ट्रैवर्सल भेद्यता है जो हमलावरों को सर्वर से मनमाना फ़ाइलें प्राप्त करने की अनुमति देती है।
यदि आप Frappe Framework के संस्करण 14.99.5 से पहले या 15.0.0 से 15.80.1 तक चला रहे हैं, तो आप प्रभावित हैं।
Frappe Framework को संस्करण 14.99.6 या 15.88.1 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक रिवर्स प्रॉक्सी का उपयोग करें।
CVE-2025-68953 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन शोषण की संभावना है।
आधिकारिक Frappe Framework सलाहकार के लिए Frappe वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।