Frappe Framework 16.10.0 存储型 DOM XSS 漏洞总结 漏洞概述 漏洞名称:Frappe Framework 16.10.0 – Stored DOM XSS in Tag Pill Renderer 漏洞类型:存储型 DOM XSS(Stored DOM XSS) CVSS 评分:4.6(Medium) CVE ID:CVE-2026-3673 发现者:Oscar Uribe(Fluid Attacks AI SAST Scanner) 发布日期:2026年4月21日 影响范围 受影响产品:Frappe Framework 受影响版本:16.10.0 状态:Public 利用条件:需要认证用户权限 利用方式:攻击者可在 中注入恶意标签,当其他用户打开列表/报告视图时触发 JavaScript 执行 漏洞详情 漏洞路径 1. 来源:攻击者控制的标签值通过 传入 2. 持久化: 存储逗号分隔的标签 3. 注入点: 渲染器中: - 标题使用 - 标签在 inner HTML 中未转义 4. DOM 插入:渲染后的 HTML 被插入到列表/报告视图中,启用属性注入(如 ) PoC 代码 利用步骤 1. 访问: 2. 启用"显示标签"列表设置(如果隐藏) 3. 将鼠标悬停在恶意标签上 修复方案 当前状态:暂无可用补丁 建议措施: - 对标签内容进行 HTML 转义处理 - 避免在 inner HTML 中直接插入用户输入 - 实施内容安全策略(CSP)限制脚本执行 时间线 2026年3月6日:漏洞发现 2026年3月5日:联系厂商 2026年3月24日:厂商回复 2026年4月21日:公开披露