CVE-2026-40888

Frappe HR vulnerable to Improper Access Control

CVSS 6.5 MEDIUMEPSS 0.2%CWE-284

Vexday Risk Score

13Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 6.5EPSS 0.2%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

21 abr 2026Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

Frappe HR is an open-source human resources management solution (HRMS). Prior to versions 15.58.1 and 16.4.1, an authenticated user with default role can access unauthorized information by exploiting certain api endpoint. Versions 15.58.1 and 16.4.1 contain a patch. No known workarounds are available.

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Productos afectados

frappe · hrms

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/frappe/hrms/releases/tag/v15.58.1 https://github.com/frappe/hrms/releases/tag/v16.4.1 https://github.com/frappe/hrms/security/advisories/GHSA-4375-7rxj-9hfx