漏洞概述 漏洞名称: Frappe Framework 17.0.0-dev - Stored XSS in frappe.get_avatar image rendering 漏洞类型: 存储型跨站脚本攻击(Stored XSS) 漏洞描述: Frappe Framework 版本 17.0.0-dev 中存在一个存储型跨站脚本(XSS)漏洞,原因是 函数未能正确中和用户控制的输入。该函数将 值直接插入到 HTML 模板字符串中,并通过 赋值,而没有进行适当的 HTML 转义或清理。 攻击者可以通过写入包含恶意标记的 来持久化一个构造的 Attach Image 值。当受影响的记录被渲染时,攻击者控制的载荷会被插入到 DOM 中,并在查看者用户的会话上下文中执行。 影响范围 受影响产品: Frappe Framework 受影响版本: 17.0.0-dev CVSS v4.0 基础评分: 4.6 远程可利用: 是 漏洞发现者: Oscar Uribe(Fluid Attacks AI SAST Scanner) 修复方案 目前尚无针对此漏洞的补丁。建议用户等待官方发布修复版本,并在等待期间采取以下措施: 1. 限制用户输入: 对用户输入进行严格的验证和过滤,避免直接插入到 HTML 模板中。 2. 使用安全的 HTML 转义库: 在将用户输入插入到 HTML 之前,使用安全的 HTML 转义库进行转义。 3. 定期更新和监控: 定期更新 Frappe Framework 并监控安全公告,以便及时应用修复。 POC 代码 以下是用于验证漏洞的 POC 代码: 证据 页面中包含一个静态证据截图,显示了漏洞利用的效果。 时间线 2026年6月4日: 漏洞发现 2026年6月5日: 联系供应商 2026年6月7日: 供应商回复 2026年6月24日: 公开披露 参考 GitHub 仓库: https://github.com/frappe/frappe 安全: https://github.com/frappe/frappe/security 致谢 该漏洞由 Oscar Uribe 从 Fluid Attacks 的 Offensive Team 使用 AI SAST Scanner 发现。