CVE-2026-39405
KrytyczneStreszczenie
System zarządzania nauką Frappe (LMS) w wersjach 2.50.0 i poniżej pozwalał użytkownikom z rolą edytora kursów na przesyłanie pakietów SCORM ZIP, co umożliwiało zapis plików poza zamierzonym katalogiem. Problem został rozwiązany w wersji 2.50.1.
Ocena ryzyka
Możliwość zapisu plików w niezamierzonych lokalizacjach stwarza ryzyko naruszenia integralności danych oraz potencjalnego wprowadzenia złośliwego oprogramowania.
Rekomendacja
Zaleca się aktualizację systemu do wersji 2.50.1 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Frappe Learning Management System (LMS) is a learning system that helps users structure their content. In versions 2.50.0 and below, a user with course editing role could upload a SCORM ZIP package to write files outside the intended directory. This issue has been resolved in version 2.50.1.

