0x01 Dolibarr
Dolibarr用PHP编写,带有可选的JavaScript增强功能,是一个简单的基于web的企业 ERP和CRM系统,主要为中小型公司服务,可用来管理产品、库存、发票、订单、邮件列表等等,无需专业知识即可使用。
0x02 漏洞概述
Dolibarr v15.0.2及之前的版本中存在存储XSS漏洞,攻击者可以通过在有效负载中添加“<”来绕过WAF,攻击者有可能利用漏洞破坏网站,导致用户帐户被盗,并且可以在网页上运行恶意代码,从而导致用户设备被盗。
影响版本范围:
-
Dolibarr ERP/CRM - dolibarr<=15.0.2
0x03 漏洞信息
漏洞编号:CVE-2022-2060
漏洞POC:已知
漏洞EXP:未知
漏洞细节:未知
危害等级:高危
漏洞类型:跨站脚本攻击(XSS)
0x04 修复方案
官方修复方案:
当前厂商暂未发布官方修复方案
原文始发于微信公众号(寻云安全团队):Dolibarr存在跨站脚本攻击漏洞(CVE-2022-2060)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论