Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Frappe (CVE-2025-55732)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
20/08/2025
Última modificación:
22/08/2025

Descripción

Frappe es un framework de aplicaciones web integral. Antes de las versiones 15.74.2 y 14.96.15, un atacante podía implementar inyecciones SQL mediante solicitudes especialmente manipuladas, lo que permitía a usuarios malintencionados acceder a información confidencial. Esta vulnerabilidad es una evasión del parche oficial publicado para CVE-2025-52895. Esta vulnerabilidad se ha corregido en las versiones 15.74.2 y 14.96.15.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:frappe:frappe:*:*:*:*:*:*:*:* 14.96.15 (excluyendo)
cpe:2.3:a:frappe:frappe:*:*:*:*:*:*:*:* 15.0.0 (incluyendo) 15.74.2 (excluyendo)