Vulnerabilidad en Dolibarr (CVE-2024-23817)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/01/2024
Última modificación:
09/05/2024
Descripción
Dolibarr es un paquete de software de planificación de recursos empresariales (ERP) y gestión de relaciones con los clientes (CRM). La versión 18.0.4 tiene una vulnerabilidad de inyección HTML en la página Home de la aplicación Dolibarr. Esta vulnerabilidad permite a un atacante inyectar etiquetas HTML arbitrarias y manipular el contenido representado en la respuesta de la aplicación. Específicamente, pude inyectar con éxito una nueva etiqueta HTML en el documento devuelto y, como resultado, pude comentar alguna parte del código HTML de la página de inicio de la aplicación Dolibarr. Este comportamiento se puede aprovechar para realizar varios ataques como Cross-Site Scripting (XSS). Para solucionar el problema, valide y sanitice todas las entradas proporcionadas por el usuario, especialmente dentro de los atributos HTML, para evitar ataques de inyección de HTML; e implementar una codificación de salida adecuada al representar datos proporcionados por el usuario para garantizar que se traten como texto sin formato en lugar de HTML ejecutable.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dolibarr:dolibarr_erp\/crm:18.0.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página