Plataforma
erpnext
Componente
frappe/frappe
Corrigido em
14.99.7
15.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no Frappe Framework, um framework de aplicação web full-stack. As versões afetadas são 14.99.5 e anteriores, e as versões entre 15.0.0 e 15.80.1. A falta de sanitização adequada em certas requisições permite que um atacante acesse arquivos arbitrários do servidor. A correção foi implementada nas versões 14.99.6 e 15.88.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse arquivos sensíveis no servidor Frappe Framework, potencialmente expondo informações confidenciais como credenciais de banco de dados, chaves de API ou código-fonte. O atacante pode usar essa informação para escalar privilégios, comprometer a aplicação e, possivelmente, obter acesso a dados de usuários. A ausência de sanitização adequada nas requisições torna o framework vulnerável a ataques de manipulação de caminho, permitindo que o atacante contorne as restrições de acesso ao sistema de arquivos. A gravidade da vulnerabilidade reside na facilidade com que um atacante pode obter acesso a dados críticos, sem a necessidade de autenticação.
A vulnerabilidade foi divulgada em 2026-01-05. Não há informações disponíveis sobre exploração ativa ou presença na KEV. A pontuação EPSS não foi determinada. É importante monitorar a situação e aplicar as medidas de mitigação recomendadas para proteger os sistemas Frappe Framework.
Organizations deploying Frappe Framework applications, particularly those using older versions (≤ 15.0.0, < 15.88.1), are at risk. Shared hosting environments where multiple applications share the same server infrastructure are also particularly vulnerable, as a successful attack on one application could potentially compromise others.
• linux / server: Monitor web server access logs for unusual file requests containing directory traversal sequences (e.g., ../).
grep -i '../' /var/log/apache2/access.log• generic web: Use curl to test for path traversal vulnerabilities by appending directory traversal sequences to URLs.
curl 'http://your-frappe-instance/../../../../etc/passwd'• python: Review Frappe Framework code for instances where user-supplied input is used to construct file paths without proper sanitization.
disclosure
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
A correção oficial para esta vulnerabilidade está disponível nas versões 14.99.6 e 15.88.1 do Frappe Framework. É altamente recomendável atualizar para uma dessas versões o mais rápido possível. Como workaround imediato, a implementação de um proxy reverso pode ajudar a mitigar o risco, adicionando uma camada de segurança que valida e filtra as requisições antes que elas cheguem ao framework. Além disso, revise as configurações do Frappe Framework para garantir que as permissões de acesso aos arquivos estejam corretamente configuradas. Após a atualização, confirme a correção verificando se as requisições de acesso a arquivos fora do diretório esperado são bloqueadas.
Actualice Frappe a la versión 14.99.6 o superior, o a la versión 15.88.1 o superior. Como alternativa, configure un proxy inverso para mitigar la vulnerabilidad de path traversal. Esto ayudará a sanitizar las solicitudes y prevenir el acceso a archivos arbitrarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68953 is a Path Traversal vulnerability affecting Frappe Framework versions ≤ 15.0.0 and < 15.88.1, allowing attackers to potentially retrieve arbitrary files from the server.
You are affected if you are using Frappe Framework versions 14.99.5 and below, or versions 15.0.0 through 15.80.1. Upgrade to 14.99.6 or 15.88.1 to mitigate the risk.
Upgrade to Frappe Framework version 14.99.6 or 15.88.1. As a temporary workaround, configure a reverse proxy to sanitize incoming requests.
No active exploitation campaigns have been reported, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the official Frappe Framework security advisories on their website for detailed information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.