Triple Threat in Frappe Framework: SQL Injection, RCE, and Info Disclosure Fixed in Recent Patches
2025/03/27 SecurityOnline — ERPNext などのデータベース駆動型アプリケーションを支える、フルスタック Web フレームワーク Frappe Framework に、複数の深刻なセキュリティ脆弱性が発生した。Frappe は、Python/JavaScript ベースの多用途 Web フレームワークであり、データベース・セントリックなアプリケーションの開発を簡素化する。その堅牢な機能セットにより、複雑な Web ソリューションの構築に多用されている。
1つ目の脆弱性 CVE-2025-30212 は、SQL インジェクションの欠陥であり、Frappe のバージョン 14.89.0/15.51.0 未満に影響を及ぼす。この脆弱性を悪用する攻撃者は、悪意の SQL ステートメントを挿入し、データベースに保存されている機密情報への不正アクセスの可能性を手にする。ユーザー入力と動的コンテンツ生成に大きく依存する、 Frappe のようなフレームワークの性質を考えると、この種の脆弱性により、データの機密性と整合性に実質的なリスクが生じると懸念されている。
この脆弱性を修正するためには、バージョン 14.89.0/15.51.0 へのアップグレードが必要となる。なお、現時点では、回避策は存在しない。
2つ目の脆弱性 CVE-2025-30213 は、特定の条件下でリモート・コード実行を許してしまうという、さらに深刻な結果をもたらす。バージョン 14.91.0/15.52.0 未満では、認証済のシステム・ユーザーがサーバ上で任意のコードを実行し、ドキュメントを作成できる状態にあった。この悪用には認証されたアクセスが必要だが、アプリケーション内からシステム全体が侵害される可能性が生じる。
この脆弱性を修正するためには、バージョン 14.91.0/15.52.0 へのアップグレードが必要になる。なお、現時点では、回避策は存在しない。
3つ目の脆弱性である CVE-2025-30214 (CVSS:8.0) は、最も深刻なものであり、細工されたリクエストを介した情報漏洩の可能性を生じるものだ。その悪用により、アカウントの乗っ取りにいたる恐れもある。つまり、機密性の高いユーザー・データやビジネス・データを取り扱うアプリケーションにとって、きわめて深刻な懸念が生じる。影響を受けるバージョンは、14.89.0/15.51.0 未満となる。
この脆弱性には、単純なデータ漏洩からアカウント全体の侵害にエスカレートする可能性があるため、警戒が呼びかけられている・ソフトウェア・メンテナンス・サイクルでの、タイムリーなアップグレードの重要性が強調される。
この脆弱性を修正するためには、バージョン 14.89.0/15.51.0 へのアップグレードが必要となる。なお、現時点では、回避策は存在しない。
すべての Frappe Framework ユーザーにとって必要なことは、指定されたパッチ・バージョンへと速やかにアップグレードし、これらのセキュリティ・リスクからアプリケーションとデータを保護することだ。
ローコード対応のWebフレームワークである Frappe Framework の3つの脆弱性が FIX とのことです。これらの脆弱性は、悪用されると、システム全体の侵害/情報漏えい/アカウントの乗っ取りなどにいたる恐れがあるものです。また、回避策は存在しないとのことですので、ご利用のチームはアップグレードをお急ぎください。よろしければ、カテゴリ OpenSource も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.