Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en ERP CMS de DOLIBARR

Fecha de publicación 24/05/2024
Identificador
INCIBE-2024-0274
Importancia
5 - Crítica
Recursos Afectados

ERP CMS, versión 9.0.1.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad crítica que afectan a ERP CMS, sistema de gestión empresarial web y código abierto, versión 9.0.1 de DOLLIBAR, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-5314: 9.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CWE-89.
  • CVE-2024-5315: 9.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CWE-89.
Solución

No hay solución reportada por el momento. 

Detalle

Vulnerabilidades en Dolibarr ERP - CRM que afectan a la versión 9.0.1 y permiten una inyección SQL. Estas vulnerabilidades podrían permitir que un atacante remoto envíe una consulta SQL especialmente diseñada al sistema y recupere toda la información almacenada en la base de datos a través de los parámetros:

  • CVE-2024-5314: sortorder y sortfield en /dolibarr/admin/dict.php.
  • CVE-2024-5315: viewstatut en /dolibarr/commande/list.php.
Listado de referencias
Etiquetas