CVE-2026-50699
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS). Uwierzytelniony atakujący z dostępem do zapisu w Auto Repeat może wprowadzić HTML/JavaScript w reference_document, co prowadzi do wykonania skryptu po otwarciu formularza Auto Repeat przez użytkowników.
Ocena ryzyka
Podatność ta może prowadzić do wykonania złośliwego kodu w przeglądarkach użytkowników, co stwarza ryzyko kradzieży danych lub przejęcia sesji. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem danych.
Rekomendacja
Zaleca się aktualizację Frappe Framework do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do funkcji Auto Repeat tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
A Stored Cross-Site Scripting (XSS) vulnerability exists in Frappe Framework version 17.0.0-dev. An authenticated attacker with write access to Auto Repeat can persist HTML/JavaScript in reference_document using a whitelisted write path and trigger script execution when users open the affected Auto Repeat form.

