漏洞描述
Dolibarr 是一个面向企业的开源的 ERP 和 CRM 。
Dolibarr 在 16.0.1 和 16.0.2 版本中存在 sql 注入漏洞,原因是 website.lib.php 中没有对 sql 语句进行有效转义,攻击者可利用此漏洞通过发送“/search.php?s=payload”的get请求进行 sql 注入,从而获取 Dolibarr 系统数据库中的敏感信息。
| 漏洞名称 | Dolibarr 存在 sql 注入漏洞 |
|---|---|
| 漏洞类型 | SQL注入 |
| 发现时间 | 2022-11-21 |
| 漏洞影响广度 | 极小 |
| MPS编号 | MPS-2022-64765 |
| CVE编号 | CVE-2022-4093 |
| CNVD编号 | - |
影响范围
Dolibarr/dolibarr@[16.0.1, 16.0.3)
修复方案
升级Dolibarr/dolibarr到 16.0.3 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-64765
https://nvd.nist.gov/vuln/detail/CVE-2022-4093
https://github.com/dolibarr/dolibarr/commit/7c1eac9774bd1fed0b7b4594159f2ac2d12a4011
https://huntr.dev/bounties/677ca8ee-ffbc-4b39-b294-2ce81bd56788/
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
