CVE-2025-68929 - Frappe 可能因服务器端模板注入而容易受到远程代码执行的攻击
概述
漏洞时间线
描述
Frappe 是一个全栈 Web 应用程序框架。在 14.99.6 和 15.88.1 版本之前,具有特定权限的经过身份验证的用户可能被诱骗访问特制链接。这可能导致恶意模板在服务器上执行,从而导致远程代码执行。14.99.6 和 15.88.1 版本修复了此问题。没有已知的解决方法可用。
信息
发布日期: 2025年12月29日 下午3:16 最后修改日期: 2025年12月29日 下午3:57 可远程利用: 是! 来源: security-advisories@github.com
受影响的产品
以下产品受 CVE-2025-68929 漏洞影响。即使 cvefeed.io 知晓受影响产品的确切版本,该信息也未在下表中表示。
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Frappe | frappe |
: 总计受影响供应商 : 1 | 产品 : 1
CVSS 评分
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个 CVE 收集并显示来自不同来源的 CVSS 评分。
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.0 | CVSS 3.1 | 严重 | 2.3 | 6.0 | security-advisories@github.com |
解决方案
将 Frappe 更新到 14.99.6 或 15.88.1 版本以修复远程代码执行漏洞。
- 更新 Frappe 至版本 14.99.6。
- 更新 Frappe 至版本 15.88.1。
公告、解决方案和工具的参考链接
在这里,您将找到与 CVE-2025-68929 相关的、提供深入信息、实用解决方案和有价值工具的外部链接精选列表。
| URL | 资源 |
|---|---|
| https://github.com/frappe/frappe/releases/tag/v14.99.6 | |
| https://github.com/frappe/frappe/releases/tag/v15.88.1 | |
| https://github.com/frappe/frappe/security/advisories/GHSA-qq98-vfv9-xmxh |
CWE - 常见弱点枚举
虽然 CVE 标识具体的漏洞实例,但 CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-68929 与以下 CWE 相关:
CWE-1336: 模板引擎中使用的特殊元素的不当中和
常见攻击模式枚举和分类 (CAPEC)
常见攻击模式枚举和分类 (CAPEC) 存储攻击模式,这些模式描述了对手利用 CVE-2025-68929 弱点所采用的常见属性和方法。
漏洞历史
以下表格列出了 CVE-2025-68929 漏洞随时间所做的更改。漏洞历史详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 新 CVE 接收方 | 日期 | 操作 | 类型 | 旧值 | 新值 |
|---|
| | | 添加 | CVSS V3.1 | | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H | | | | 添加 | CWE | | CWE-1336 | | | | 添加 | 参考链接 | | https://github.com/frappe/frappe/releases/tag/v14.99.6 | | | | 添加 | 参考链接 | | https://github.com/frappe/frappe/releases/tag/v15.88.1 | | | | 添加 | 参考链接 | | https://github.com/frappe/frappe/security/advisories/GHSA-qq98-vfv9-xmxh |
漏洞评分详情
CVSS 3.1
基础 CVSS 评分: 9.0
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 作用域 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 低 | 必需 | 已更改 | 高 | 高 | 高 |