Frappe Framework 17.0.0-dev - Stored XSS in Number Card filter fields rendering 漏洞概述 漏洞名称: Stored XSS in Number Card filter fields rendering 漏洞类型: 存储型跨站脚本攻击 (Stored XSS) CVSS 评分: 4.6 (Medium) CVE ID: CVE-2026-50711 发现者: Oscar Uribe (Fluid Attacks AI SAST Scanner) 发布日期: 2026年6月24日 影响范围 受影响产品: Frappe Framework 受影响版本: 17.0.0-dev 漏洞描述: 在 Frappe Framework 版本 17.0.0-dev 中,Number Card 组件存在存储型跨站脚本 (XSS) 漏洞。经过身份验证的攻击者可以在 Number Card 的 filters_json 或 dynamic_filters_json 字段中存储恶意的 HTML 或 JavaScript 载荷。当用户打开受影响的卡片时,客户端渲染逻辑会解析这些存储的值,并通过 jQuery HTML 渲染函数将其注入到页面中,由于缺乏适当的转义或清理,导致在受害者的浏览器中执行任意 JavaScript。 修复方案 当前状态: 目前尚无针对此漏洞的补丁可用。 POC 代码 1. 登录并获取 session cookie 2. 创建恶意的 Number Card Case A (filters_json) Case B (dynamic_filters_json) 3. 打开创建的卡片 预期结果 浏览器执行 (Case A) 浏览器执行 (Case B)