Dolibarr 多个反射型和存储型跨站脚本(XSS)漏洞

时间:2017-6-24 分享到:
厂商 Dolibarr 多个反射型和存储型跨站脚本(XSS)漏洞
产品 Dolibarr
受影响的版本 5.0.3及之前版本
测试版本 5.0.3
漏洞发现日期 2017-6-3
厂商通知日期 2017-6-6
预警公告日期 2017-6-7【无技术细节】
厂商确认日期 2017-6-18
厂商修复日期 计划版本5.0.4
公开披露日期
最新修正日期 2017-7-13
CVE ID CVE-2017-9838
产品描述 Dolibarr ERP / CRM是一个开源的免费软件包,适用于中小型企业,基金会或自由职业者。它包括企业资源规划(ERP)和客户关系管理(CRM)的不同功能,还包括不同活动的其他功能。
发现者 Yann Chalençon, 安全研究员和渗透测试员 @wizlynx group

漏洞描述


    多个反射型和存储型跨站脚本(XSS)漏洞
    严重程度:     CVSS 分数: 6.1     CWE-ID: CWE-79     状态: 未修复
    漏洞详情
    Dolibarr5.0.3及更高版本受到多个反射型和存储型的跨站脚本(XSS)漏洞的影响。这些漏洞可能允许通过身份验证的远程攻击者注入任意Web脚本或HTML。
    CVSS基准分
    攻击媒介     网络     范围     变化
    攻击复杂度     低     保密性影响     低
    所需特权     无     一致性影响     低
    用户互动     需要     可用性影响     无

详情


一旦厂商提供补丁,就会披露有关该漏洞的全面细节。

版权所有:https://www.wizlynxgroup.cn 转载请注明出处