漏洞描述
Frappe 框架在 14.99.6 和 15.88.1 之前的版本中存在远程代码执行漏洞,具备特定权限的已认证用户在被诱导访问特制链接后,服务器会执行恶意模板,从而导致攻击者在服务器上执行任意代码。该漏洞已在 14.99.6 和 15.88.1 版本中修复,目前无有效临时缓解方案。
Frappe /api/method/frappe.automation.doctype.auto_repeat.auto_repeat.generate_message_preview SQL 注入漏洞(CVE-2025-68929)
PoC代码
暂无