๐ Dolibarr ERP/CRM bis 3.8.3 External Calendar Cross Site Scripting
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80283
Betroffen: Dolibarr ERP/CRM bis 3.8.3
Veröffentlicht: 15.01.2016
Risiko: problematisch
Erstellt: 17.01.2016
Eintrag: 64.7% komplett
Beschreibung
Es wurde eine problematische Schwachstelle in Dolibarr ERP sowie CRM bis 3.8.3 gefunden. Dabei betrifft es eine unbekannte Funktion der Komponente External Calendar. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:
Multiple cross-site scripting (XSS) vulnerabilities in Dolibarr ERP/CRM 3.8.3 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) external calendar url or (2) the bank name field in the “import external calendar” page.
Die Schwachstelle wurde am 15.01.2016 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2015-8685 vorgenommen. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 4.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
- cpe:/a:dolibarr:erp:3.8.0
- cpe:/a:dolibarr:erp:3.8.1
- cpe:/a:dolibarr:erp:3.8.2
- cpe:/a:dolibarr:erp:3.8.3
- cpe:/a:dolibarr:crm:3.8.0
- cpe:/a:dolibarr:crm:3.8.1
- cpe:/a:dolibarr:crm:3.8.2
- cpe:/a:dolibarr:crm:3.8.3
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
15.01.2016 | Advisory veröffentlicht
17.01.2016 | VulDB Eintrag erstellt
17.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-8685 (mitre.org) (nvd.nist.org) (cvedetails.com)
...