Frappe — это полнофункциональная платформа веб-приложений. До версий 14.100.2, 15.101.0 и 16.10.0 из-за отсутствия проверки и неправильной проверки разрешений пользователи могли изменять частные рабочие области других пользователей. Специально созданные запросы могут привести к сохранению XSS здесь.
Эта уязвимость исправлена в версиях 14.100.2, 15.101.0 и 16.10.0.
Показать оригинальное описание (EN)
Frappe is a full-stack web application framework. Prior to 14.100.2, 15.101.0, and 16.10.0, due to a lack of validation and improper permission checks, users could modify other user's private workspaces. Specially crafted requests could lead to stored XSS here. This vulnerability is fixed in 14.100.2, 15.101.0, and 16.10.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0