CVE-2026-39351Frappe是一个流行的全栈Web应用框架。在16.14.0和15.104.0之前的版本中存在一个严重的安全漏洞。该漏洞源于API端点的访问控制机制失效,允许攻击者在未经身份验证的情况下,通过API利用方式访问受限制的Doctype(文档类型)。由于无需用户交互且攻击复杂度低,远程攻击者可利用此漏洞窃取敏感数据或篡改系统数据,对系统的机密性和完整性造成严重影响。
该漏洞的核心成因在于Frappe框架对API请求处理过程中的权限校验逻辑存在缺陷。Frappe框架基于DocType(文档类型)构建数据模型,并提供标准的REST API端点(如`/api/resource/{DocType}`)用于数据的增删改查。在受影响的版本中,当请求针对特定的DocType时,框架未能正确执行基于角色的访问控制(RBAC)检查,或者默认将某些内部API暴露给了匿名用户。具体利用方式十分简单,攻击者无需拥有任何合法账户(PR:N),也不需要诱导用户进行交互(UI:N)。只需向目标服务器发送特制的HTTP GET或POST请求,即可绕过前端验证直接调用后端API。由于系统未对请求来源进行身份识别,攻击者能够遍历系统中的敏感DocType(如User、System Settings等),进而获取高价值信息或修改关键业务数据。这种未经授权的访问直接破坏了系统的机密性(C:H)和完整性(I:H),可能导致严重的信息泄露事件。