Frappe ERPNext（バージョン15.89.0まで）のget_terms_and_conditionsメソッドには、SSTI（サーバーサイドテンプレートインジェクション）の脆弱性が存在します。この関数は、攻撃者が制御するJinja2テンプレート（terms）をユーザーが提供したコンテキスト（doc）とともにfrappe.render_template()でレンダリングします。Frappeは独自のSandboxedEnvironmentを使用していますが、get_safe_globals()を介してfrappe.db.sqlなどの危険なグローバル変数が実行コンテキストで依然として利用可能です。Terms and Conditionsドキュメントの作成や編集権限を持つ認証済み攻撃者は、termsフィールドに任意のJinja式を注入することで、制限されてはいるものの依然として安全でないサーバーサイドのコードを実行できます。この脆弱性は、データベース情報の漏洩などにも悪用される可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。