TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

「Frappe Framework」「ERPNext」にXSS脆弱性 - 管理者権限奪取のおそれ

【要点】

◎Frappe FrameworkとERPNextに格納型XSS脆弱性が判明した。細工したファイルにより管理者権限奪取や情報改ざんのおそれがあり、CVSSは9.6と評価されている。 (Security NEXT)


【要約】

ウェブアプリ基盤「Frappe Framework」とERPアプリ「ERPNext」に、管理者権限奪取につながる深刻な脆弱性が判明した。対象はFrappe Framework 15.89.0のAttachmentsモジュールで、ERPNext 15.89.0も影響を受ける。認証済みユーザーが細工したXMLやHTMLファイルをアップロードし、管理者を誘導することで格納型XSSが発生し、権限昇格やデータ改ざん、機密情報への不正アクセスに悪用されるおそれがある。CISAはCVSSv3.1で9.6のクリティカルと評価している。以降のバージョンが公開されているものの、修正内容の明示はなく対応状況は不透明だ。


【ニュース】

◆「Frappe Framework」「ERPNext」にXSS脆弱性 - 管理者権限奪取のおそれ (Security NEXT, 2025/12/23)
https://www.security-next.com/178872


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022