漏洞概述 漏洞名称: Frappe Framework 17.0.0-dev - Stored XSS in Multi Select Dialog result rendering 漏洞类型: 存储型跨站脚本攻击(Stored XSS) CVSS评分: 4.8 (Medium) CVE ID: CVE-2026-50708 描述: Frappe Framework 版本 17.0.0-dev 中存在一个存储型跨站脚本(XSS)漏洞,原因是 MultiSelectDialog 组件对用户可控输入的不当处理。服务器返回的搜索结果通过插值原始字段值到 HTML 模板字符串中,而没有进行适当的转义或清理。 影响范围 受影响产品: Frappe Framework 受影响版本: 17.0.0-dev 远程可利用: 是 漏洞利用: 是 修复方案 目前尚无补丁可用。 POC代码 URL trigger PoC 1. 创建一个出现在 结果中的记录(验证与 ),并在可搜索文本字段中设置 payload: 2. 打开 Desk 并认证: 3. 在同一标签页中,在地址栏执行此 URL: 证据 静态证据: 页面中包含一个截图,显示了漏洞利用的效果。 时间线 2026年6月4日: 漏洞发现 2026年6月5日: 联系供应商 2026年6月7日: 供应商回复 2026年6月24日: 公开披露 参考 GitHub 仓库: https://github.com/frappe/frappe 安全: https://github.com/frappe/frappe/security 致谢 该漏洞由 Oscar Uribe 从 Fluid Attacks 的 Offensive Team 使用 AI SAST Scanner 发现。