漏洞概述 漏洞名称: Frappe Framework 17.0.0-dev - Stored XSS in Tree View node label rendering 漏洞类型: 存储型跨站脚本攻击(Stored XSS) CVSS评分: 4.8 (Medium) CVE ID: CVE-2026-50712 描述: Frappe Framework 17.0.0-dev 版本中存在一个存储型跨站脚本(XSS)漏洞。该漏洞源于对用户控制的输入在 组件中的不当处理。树节点标签通过 HTML 模板渲染,直接将节点标签插入到 元素的 属性中,而没有进行属性转义。 攻击者可以创建或修改记录,其名称稍后用作树节点标签。由于引号未被 Frappe 的名称验证阻止,构造的值可以打破 属性并注入任意 HTML 属性,包括 JavaScript 事件处理程序,如 。当其他用户与受影响的树节点交互时,攻击者控制的代码可能在受害者的浏览器中执行。 影响范围 受影响产品: Frappe Framework 受影响版本: 17.0.0-dev 远程可利用: 是 CVSS v4.0 向量字符串: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 修复方案 目前尚无针对此漏洞的补丁可用。 POC代码 GUI Flow 1. 登录到 Desk: 2. 存储带有以下名称的树节点: 3. 打开: 4. 点击恶意树节点: 预期结果: - 树节点锚点包含注入的 属性。 - 点击节点会在受害者的 Desk 会话中执行 JavaScript。 证据 静态证据: - 截图显示了漏洞利用的效果,点击恶意树节点后弹出 。 时间线 2026年6月4日: 发现漏洞 2026年6月5日: 联系供应商 2026年6月7日: 供应商回复 2026年6月24日: 公开披露 参考 GitHub 仓库: https://github.com/frappe/frappe 安全: https://github.com/frappe/frappe/security 信用 发现者: Oscar Uribe (Fluid Attacks Offensive Team) 工具: AI SAST Scanner --- 注意: 以上信息基于提供的网页截图内容整理,具体细节请参考原始页面。