Description
A flaw has been found in Frappe LMS 2.35.0. Impacted is an unknown function of the file /files/ of the component Assignment Picture Handler. This manipulation causes direct request. The attack may be initiated remotely. The attack's complexity is rated as high. The exploitability is considered difficult. The exploit has been published and may be used. It is advisable to upgrade the affected component. The vendor was informed early about a total of four security issues and confirmed that those have been fixed. However, the release notes on GitHub do not mention them.
In Frappe LMS 2.35.0 wurde eine Schwachstelle gefunden. Betroffen davon ist ein unbekannter Prozess der Datei /files/ der Komponente Assignment Picture Handler. Mit der Manipulation mit unbekannten Daten kann eine direct request-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Ein Angriff erfordert eine vergleichsweise hohe Komplexität. Sie ist schwierig auszunutzen. Die Ausnutzung wurde veröffentlicht und kann verwendet werden. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Problem types
Product status
Timeline
| 2025-10-04: | Advisory disclosed |
| 2025-10-04: | VulDB entry created |
| 2025-10-04: | VulDB entry last update |
Credits
0xHamy (VulDB User)
References
vuldb.com/?id.327014 (VDB-327014 | Frappe LMS Assignment Picture files direct request)
vuldb.com/?ctiid.327014 (VDB-327014 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.659694 (Submit #659694 | Frappe Frappe LMS 2.35.0 Improper Access Controls)
gist.github.com/0xHamy/beb840a754f50a7ee6500600147a6ac1
gist.github.com/0xHamy/beb840a754f50a7ee6500600147a6ac1
