Frappe LMS角色缓存漏洞:权限撤销延迟问题解析

本文详细分析了CVE-2025-64707漏洞,该漏洞存在于Frappe学习管理系统中,由于角色权限缓存未及时清理,导致管理员撤销用户权限时无法立即生效,存在安全风险。漏洞影响版本2.0.0至2.41.0,已在2.41.0版本修复。

CVE-2025-64707 - Frappe LMS权限撤销因角色缓存未立即生效

概述

漏洞描述

Frappe Learning是一个帮助用户结构化内容的学习系统。从版本2.0.0开始到版本2.41.0之前,当管理员从用户撤销角色时,由于缓存机制,该操作的效果不会立即生效。该问题已在版本2.41.0中通过确保角色更新后清除缓存得到修复。

基本信息

发布时间:2025年11月12日 23:15
最后修改:2025年11月12日 23:15
远程利用:是
信息来源:security-advisories@github.com

技术详情

受影响产品

目前尚未记录受影响的具体产品信息
总受影响供应商:0 | 产品:0

CVSS评分

评分:1.2
版本:CVSS 4.0
严重程度:低
评分来源:security-advisories@github.com

解决方案

  • 将Frappe Learning更新到版本2.41.0或更高版本
  • 更新后清除应用程序缓存

相关参考

安全公告链接
https://github.com/frappe/lms/security/advisories/GHSA-w2gf-rchw-x6vm

弱点分类

CWE关联:CWE-863 - 不正确的授权

漏洞历史记录

2025年11月12日 - 收到来自security-advisories@github.com的新CVE

变更记录

  • 添加漏洞描述
  • 添加CVSS 4.0评分
  • 添加CWE分类
  • 添加参考链接

技术评分详情

CVSS 4.0基础评分:1.2

攻击向量指标

  • 攻击向量:网络
  • 攻击复杂性:低
  • 攻击要求:无
  • 所需权限:高
  • 用户交互:无
  • 机密性影响:无
  • 完整性影响:低
  • 可用性影响:无
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次