Критическая уязвимость во фреймворке Frappe угрожает удаленным выполнением кода

В ноябре 2025 года специалисты по кибербезопасности выявили критическую уязвимость во фреймворке Frappe, который является основой для популярной платформы разработки бизнес-приложений ERPNext. Уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00422 и получившая идентификатор CVE-2025-68929, связана с недостаточной нейтрализацией специальных элементов в механизме шаблонов. Проще говоря, это уязвимость типа "инъекция шаблонов", которая может позволить злоумышленнику выполнить произвольный код на сервере.

Детали уязвимости

Уязвимость затрагивает две основные ветки фреймворка. В частности, подвержены риску все версии Frappe до 15.88.1 и все версии до 14.99.6. Разработчик, компания Frappe Technologies Pvt. Ltd., уже подтвердил наличие проблемы и оперативно выпустил патчи. Эксперты оценивают угрозу как критическую. Базовый балл по шкале CVSS 3.1 достигает 9.0, что указывает на высокую серьезность потенциального воздействия.

Механизм эксплуатации уязвимости основан на возможности внедрения вредоносного (malicious) кода через параметры шаблонов. Если атакующий, имеющий учетную запись с правами низкого уровня доступа (PR:L в CVSS 3.1), сможет отправить специально сформированные данные, он может обойти механизмы безопасности. В результате возможно выполнение произвольных команд на целевом сервере. Это, в свою очередь, открывает путь к полному контролю над системой, хищению конфиденциальных данных или развертыванию вредоносной нагрузки, например, для шифровальщика.

Важно отметить, что для успешной атаки требуется некоторое взаимодействие с пользователем (UI:R), но этот фактор лишь незначительно снижает общий риск. Учитывая популярность Frappe и ERPNext для построения корпоративных систем, потенциальная площадь атаки весьма обширна. Уязвимость представляет особый интерес для организованных киберпреступных групп или APT (Advanced Persistent Threat, устойчивая продвинутая угроза), которые могут использовать ее для получения первоначального доступа в корпоративные сети.

Производитель классифицировал ошибку как Improper Neutralization of Special Elements Used in a Template Engine (CWE-1336). К счастью, способ устранения проблемы четко определен и доступен всем пользователям. Команда Frappe Technologies выпустила исправленные версии фреймворка: 15.88.1 для ветки 15 и 14.99.6 для ветки 14. Администраторам систем настоятельно рекомендуется немедленно обновить свои установки до этих версий.

Обновление является единственным надежным способом защиты. Ссылки на официальные исправления и бюллетень безопасности были опубликованы на GitHub. Пользователям следует обратиться к этим источникам для получения детальных инструкций. В частности, все необходимые данные содержатся в релизах v14.99.6 и v15.88.1, а также в консультативном бюллетене по безопасности GHSA-qq98-vfv9-xmxh.

На текущий момент информация о наличии активных эксплойтов в дикой природе уточняется. Однако, учитывая публикацию деталей уязвимости, появление работающих методов эксплуатации в ближайшее время весьма вероятно. Следовательно, задержка с установкой обновлений может привести к серьезным последствиям. Системы, работающие на уязвимых версиях, должны рассматриваться как потенциально скомпрометированные.

Этот инцидент в очередной раз подчеркивает важность своевременного применения патчей для всех компонентов программного обеспечения, включая каркасы и библиотеки. Инженерам DevOps и администраторам, использующим Frappe, необходимо пересмотреть свои политики обновления. Кроме того, рекомендуется усилить мониторинг подозрительной активности в системах, пока обновление не будет применено. В частности, стоит обратить внимание на необычные процессы или попытки несанкционированного доступа к файлам шаблонов.

В заключение, уязвимость CVE-2025-68929 во фреймворке Frappe представляет собой серьезную угрозу безопасности. Ее критический уровень требует безотлагательных действий со стороны ИТ-отделов компаний, использующих эту технологию. Своевременное обновление до патченных версий позволит нейтрализовать риск и защитить бизнес-критичные приложения от потенциально разрушительных атак.