Múltiples vulnerabilidades en ERP CMS de DOLIBARR
ERP CMS, versión 9.0.1.
INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad crítica que afectan a ERP CMS, sistema de gestión empresarial web y código abierto, versión 9.0.1 de DOLLIBAR, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-5314: 9.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CWE-89.
- CVE-2024-5315: 9.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CWE-89.
No hay solución reportada por el momento.
Vulnerabilidades en Dolibarr ERP - CRM que afectan a la versión 9.0.1 y permiten una inyección SQL. Estas vulnerabilidades podrían permitir que un atacante remoto envíe una consulta SQL especialmente diseñada al sistema y recupere toda la información almacenada en la base de datos a través de los parámetros:
- CVE-2024-5314: sortorder y sortfield en /dolibarr/admin/dict.php.
- CVE-2024-5315: viewstatut en /dolibarr/commande/list.php.