Vulnerabilidad en Frappe (CVE-2025-55732)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
20/08/2025
Última modificación:
22/08/2025
Descripción
Frappe es un framework de aplicaciones web integral. Antes de las versiones 15.74.2 y 14.96.15, un atacante podía implementar inyecciones SQL mediante solicitudes especialmente manipuladas, lo que permitía a usuarios malintencionados acceder a información confidencial. Esta vulnerabilidad es una evasión del parche oficial publicado para CVE-2025-52895. Esta vulnerabilidad se ha corregido en las versiones 15.74.2 y 14.96.15.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:frappe:frappe:*:*:*:*:*:*:*:* | 14.96.15 (excluyendo) | |
cpe:2.3:a:frappe:frappe:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.74.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página