漏洞描述
Frappe 框架在 14.99.5 及之前版本,以及 15.0.0 至 15.80.1 版本中存在路径穿越漏洞,部分接口在处理用户请求路径时缺乏有效的安全过滤,攻击者可构造恶意路径请求读取服务器上的任意文件。该漏洞已在 14.99.6 和 15.88.1 版本中修复。
Frappe /files 目录遍历漏洞(CVE-2025-68953)
PoC代码
暂无相关漏洞推荐
- Frappe /api/method/frappe.automation.doctype.auto_repeat.auto_repeat.generate_message_preview SQL 注入漏洞(CVE-2025-68929)
- Langflow /api/v1/files/profile_pictures/../langflow.db 目录遍历漏洞
- (CVE-2025-11461)Frappe CRM 1.53.1 Dashboard Controller SQL注入漏洞
- 新中大ERP企业管理软件 /filesrv/NGInterface/Index SQL 注入漏洞
- WordPress AI Engine /wp-json/mwai-ui/v1/files/upload 文件上传漏洞(CVE-2023-51409)
- REBUILD /files/list-file SQL注入漏洞
- 易宝OA /api/files/DownloadFile 文件读取漏洞
- 中科聚网一体化运营平台 /resources/files/ue/word 任意文件上传漏洞
- 中科聚网一体化运营平台 /resources/files/ue/catchByUrl 文件上传漏洞
- 万户OA /filesendcheck_gd.jsp 路径存在SQL注入漏洞
- 用友 NC Cloud /fs/service/default/files/ 反序列化漏洞
- 易宝OA /api/files/UploadFile存在任意文件上传漏洞
- HIKVISION iSecure Center /lm/api/files 文件上传漏洞