一、 漏洞 CVE-2025-53545 基础信息
漏洞信息
# Press 存在潜在的 2FA 旁路漏洞
## 漏洞概述
Press是一个基于Frappe的自定义应用,用于管理Frappe Cloud的基础设施、订阅、市场和软件即服务(SaaS)。由于缺少服务器端验证,用户可以绕过双因素身份验证(2FA)登录。
## 影响版本
此漏洞存在于Press的某些版本中,具体版本未明确指出。
## 细节
Press缺少对双因素身份验证(2FA)的服务器端验证机制,导致用户可以通过绕过2FA的方式登录账户。
## 影响
此漏洞允许用户绕过2FA机制登录,增加了账户被未授权访问的风险。此漏洞已在提交 `ddb439f8eb1816010f2ef653a908648b71f9bba8` 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Press has a potential 2FA bypass
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Press, a Frappe custom app that runs Frappe Cloud, manages infrastructure, subscription, marketplace, and software-as-a-service (SaaS). Users can circumvent 2FA login for users due to a lack of server side validation for the same. This vulnerability is fixed in commit ddb439f8eb1816010f2ef653a908648b71f9bba8.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
认证机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Frappe Technologies Frappe 授权问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Frappe Technologies Frappe是印度Frappe Technologies公司的一个基于Python、Mariadb的并集成前端页面的Web开发框架。 Frappe Technologies Frappe存在授权问题漏洞,该漏洞源于缺少服务器端验证,可能导致绕过双因素认证。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53545 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-53545 的情报信息
-
-
标题: fix: Reapply 2FA reverts along with if condition changes · frappe/press@ddb439f · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-53545