← Back
CVE-2026-38431
critical
CVSS 9.8
Code Injection in frappe (CVE-2026-38431)
Summary
code injection in frappe (CVE-2026-38431). Successful exploitation can lead to full system takeover.
AI summary openai / gpt-4o
There is a vulnerability in older versions of the ERPNext system that allows attackers to insert malicious code into email templates. This could enable attackers to control the server, leading to data leaks or service downtime. Because this attack can be carried out remotely without special access privileges, it is particularly serious. It is advised to promptly update the software or restrict who can handle email templates.
The affected versions are ERPNext v15.103.1 and earlier, with no fixed version specified yet. This vulnerability allows users with permissions to create or edit email templates to perform Server-Side Template Injection (SSTI), injecting template expressions executed during rendering, potentially leading to arbitrary code execution on the server. As a workaround, restricting email template management permissions is effective. Specific technical details about the API endpoints related to the email templates are not specified from the material. The CVSS vector indicates the attack is feasible remotely, with no need for authentication or user interaction, severely impacting confidentiality, integrity, and availability of the server.
❓ What is the problem
ERPNextのSSTI脆弱性により、メールテンプレートの作成・編集が可能な攻撃者が任意コードをサーバー上で実行可能。
📍 Affected scope
特定のエンドポイントや関数は素材から特定できず。
🔥 Severity
CVSSスコアは9.8であり、遠隔操作可能、認証やユーザー操作不要。
🔧 How to fix
公式パッチの適用を推奨、詳細は不明。
🛡️ Workaround
メールテンプレート管理権限の制限。
🔍 Detection
素材から特定できず。
Related past incidents Similar incidents extracted from past CVEs
ZabbixにおけるSSTI脆弱性に類似しており、テンプレート式の注入による任意コード実行可能性。
GitLabにおけるSSTI脆弱性に関連し、メールテンプレートの不正利用によるコード実行。
Apache OFBizでのSSTIが類似点を持つ、リモートでのテンプレート式の実行。
If this happens at your company Expected impact per business scenario
📌 ECサイトの場
オンライン取引が停止し、顧客情報が漏洩する可能性。
📌 社内システムの場
機密データが漏洩し、業務プロセスが停止する可能性。
📌 クラウドサービスの場
サービスが一時的に停止し、収益に影響が出る可能性。
Recommended action
影響を受けるシステムの管理者は、直ちに影響バージョンを特定し、可能なら公式パッチを適用するか、少なくともテンプレート権限を厳格に管理すること。
Response Actions (7 steps)
Concrete steps and command examples for SOC/SRE teams to execute in order
-
1Identify exposure identify
grep -r 'frappe' . | grep -v node_modulesリポジトリと本番環境の依存ファイル (package-lock.json / requirements.txt / go.sum / Gemfile.lock 等) で `frappe` を grep し、稼働しているサービス・バージョンを把握する。
-
7Post-deployment verification verify
Confirm patched version is live in productionパッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。