Frappe — это полнофункциональная платформа веб-приложений. До версий 14.100.1 и 15.100.0 конечная точка была уязвима для внедрения SQL-кода через специально созданные запросы, что позволяло злоумышленнику извлечь конфиденциальную информацию. Эта проблема исправлена в версиях 14.100.1 и 15.100.0.
Показать оригинальное описание (EN)
Frappe is a full-stack web application framework. Prior to versions 14.100.1 and 15.100.0, an endpoint was vulnerable to SQL injection through specially crafted requests, which would allow a malicious actor to extract sensitive information. This issue has been patched in versions 14.100.1 and 15.100.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1