0x01 Dolibarr
Dolibarr用PHP编写,带有可选的JavaScript增强功能,是一个简单的基于web的企业 ERP和CRM系统,主要为中小型公司服务,可用来管理产品、库存、发票、订单、邮件列表等等,无需专业知识即可使用。
0x02 漏洞概述
Dolibarr v15.0.2及之前的版本中存在存储XSS漏洞,攻击者可以通过在有效负载中添加“<”来绕过WAF,攻击者有可能利用漏洞破坏网站,导致用户帐户被盗,并且可以在网页上运行恶意代码,从而导致用户设备被盗。
影响版本范围:
-
Dolibarr ERP/CRM - dolibarr<=15.0.2
0x03 漏洞信息
漏洞编号:CVE-2022-2060
漏洞POC:已知
漏洞EXP:未知
漏洞细节:未知
危害等级:高危
漏洞类型:跨站脚本攻击(XSS)
0x04 修复方案
官方修复方案:
当前厂商暂未发布官方修复方案
原文始发于微信公众号(寻云安全团队):Dolibarr存在跨站脚本攻击漏洞(CVE-2022-2060)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论