HIGHCVE-2025-68953CVSS 7.5

某些 Frappe 请求存在路径遍历漏洞 (Path Traversal)

Q: 什么是 CVE-2025-68953 — 路径遍历漏洞在 Frappe Framework 中的问题？

CVE-2025-68953 是 Frappe Framework 中发现的路径遍历漏洞，允许攻击者读取服务器上的任意文件。受影响的版本包括 14.99.5 及以下版本，以及 15.0.0 到 15.80.1 版本。

Q: 我是否受到 CVE-2025-68953 在 Frappe Framework 中的影响？

如果您正在使用 Frappe Framework 的 14.99.5 及以下版本，或 15.0.0 到 15.80.1 版本，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-68953 在 Frappe Framework 中的问题？

升级到 14.99.6 或 15.88.1 版本可以修复此漏洞。如果无法立即升级，建议使用反向代理作为临时措施。

Q: CVE-2025-68953 是否正在被积极利用？

目前没有公开的利用代码，但由于漏洞的严重性，存在被利用的风险。

Q: 在哪里可以找到 Frappe Framework 官方关于 CVE-2025-68953 的公告？

请访问 Frappe Framework 官方网站或 GitHub 仓库，查找有关此漏洞的公告和修复信息。

平台

erpnext

组件

frappe/frappe

修复版本

14.99.7

15.0.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-68953 是 Frappe Framework 中的路径遍历漏洞。该漏洞允许攻击者通过未充分清理的请求读取服务器上的任意文件，从而可能导致敏感信息泄露。受影响的版本包括 14.99.5 及以下版本，以及 15.0.0 到 15.80.1 版本。此问题已在 14.99.6 和 15.88.1 版本中修复。

影响与攻击场景

该路径遍历漏洞允许攻击者绕过应用程序的安全机制，直接访问服务器文件系统。攻击者可以利用此漏洞读取配置文件、源代码、数据库凭据或其他敏感数据。成功利用此漏洞可能导致数据泄露、权限提升，甚至可能导致对服务器的进一步控制。由于 Frappe Framework 被广泛用于构建各种 Web 应用程序，因此该漏洞的影响范围可能非常广泛。攻击者可以通过构造恶意的请求来触发此漏洞，例如在文件路径中使用 ../ 序列来访问父目录。

利用背景

目前没有公开的利用代码（PoC），但该漏洞的严重性较高，且 Frappe Framework 广泛使用，因此存在被利用的风险。该漏洞已于 2026-01-05 公开，尚未被添加到 CISA KEV 目录。建议密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations deploying Frappe Framework applications, particularly those using older versions (≤ 15.0.0, < 15.88.1), are at risk. Shared hosting environments where multiple applications share the same server infrastructure are also particularly vulnerable, as a successful attack on one application could potentially compromise others.

检测步骤翻译中…

• linux / server: Monitor web server access logs for unusual file requests containing directory traversal sequences (e.g., ../).

grep -i '../' /var/log/apache2/access.log

• generic web: Use curl to test for path traversal vulnerabilities by appending directory traversal sequences to URLs.

curl 'http://your-frappe-instance/../../../../etc/passwd'

• python: Review Frappe Framework code for instances where user-supplied input is used to construct file paths without proper sanitization.

攻击时间线

2026-01-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.07% (21% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件frappe/frappe

供应商frappe

影响范围修复版本

< 14.99.6 – < 14.99.614.99.7

>= 15.0.0, < 15.88.1 – >= 15.0.0, < 15.88.115.0.1

弱点分类 (CWE)

CWE-22

时间线

已保留2025-12-26
发布日期2026-01-05
修改日期2026-01-06
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是升级到受影响版本之后的修复版本，即 14.99.6 或 15.88.1。如果无法立即升级，建议使用反向代理作为临时解决方案。反向代理可以充当应用程序和外部世界之间的屏障，并可以配置为阻止对敏感文件的直接访问。此外，应审查应用程序代码，以确保所有用户输入都经过适当的清理和验证，以防止未来的路径遍历攻击。建议实施严格的访问控制策略，限制对服务器文件系统的访问。

修复方法翻译中…

Actualice Frappe a la versión 14.99.6 o superior, o a la versión 15.88.1 o superior. Como alternativa, configure un proxy inverso para mitigar la vulnerabilidad de path traversal. Esto ayudará a sanitizar las solicitudes y prevenir el acceso a archivos arbitrarios.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-68953 — 路径遍历漏洞在 Frappe Framework 中的问题？