CVE-2025-68953CVE-2025-68953是Frappe框架中的一个高危路径遍历漏洞。Frappe是一个开源的全栈Web应用框架,广泛用于构建企业级应用。该漏洞影响版本14.99.5及以下和15.0.0至15.80.1版本。由于某些请求处理中缺少对路径参数的适当验证和清理,攻击者可以通过构造特殊的路径遍历序列(如../)来访问服务器上的任意文件,包括配置文件、源代码、敏感凭证等。无需任何认证即可利用此漏洞,成功利用可导致敏感数据泄露,对系统机密性造成严重影响。官方已在14.99.6和15.88.1版本中修复此问题。
该路径遍历漏洞源于Frappe框架在处理文件请求时未对用户输入的路径进行充分的验证和清理。攻击者可以通过在URL参数中注入路径遍历序列(如../)来绕过安全限制,访问web根目录之外的文件系统资源。漏洞主要影响框架的文件下载和预览功能。攻击者可以利用此漏洞读取服务器上的敏感文件,包括但不限于:环境变量文件(.env)、配置文件(sites/config.json)、数据库连接凭证、API密钥、用户会话数据等。CVSS 3.1评分7.5,其中机密性影响为高,完整性和可用性无影响。攻击复杂度低,无需认证和用户交互,可通过网络远程利用。