Lädt...

🕵️ Dolibarr ERP/CRM 3.8.3 htdocs/user/card.php lastname/firstname/email/job/signature Cross Site Scripting


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: scip.ch

Allgemein

scipID: 80299
Betroffen: Dolibarr ERP/CRM 3.8.3
Veröffentlicht: 15.01.2016
Risiko: problematisch

Erstellt: 17.01.2016
Eintrag: 65.2% komplett

Beschreibung

In Dolibarr ERP sowie CRM 3.8.3 wurde eine problematische Schwachstelle entdeckt. Hierbei betrifft es eine unbekannte Funktion der Datei htdocs/user/card.php. Durch Beeinflussen des Arguments lastname/firstname/email/job/signature mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:

Multiple cross-site scripting (XSS) vulnerabilities in Dolibarr ERP/CRM 3.8.3 allow remote authenticated users to inject arbitrary web script or HTML via the (1) lastname, (2) firstname, (3) email, (4) job, or (5) signature parameter to htdocs/user/card.php.

Die Schwachstelle wurde am 15.01.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-1912 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

CVSS

Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 4.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]

CPE

Exploiting

Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $1k-$2k (0-day) / $1k-$2k (Heute)

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

15.01.2016 | Advisory veröffentlicht
17.01.2016 | VulDB Eintrag erstellt
17.01.2016 | VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2016-1912 (mitre.org) (nvd.nist.org) (cvedetails.com)

...

🕵️ Dolibarr ERP/CRM 6.0.4 htdocs/main.inc.php test_sql_and_script_inject cross site scripting


📈 73.55 Punkte
🕵️ Sicherheitslücken

🕵️ Dolibarr ERP/CRM 6.0.4 htdocs/main.inc.php test_sql_and_script_inject Cross Site Scripting


📈 73.55 Punkte
🕵️ Sicherheitslücken

🕵️ Dolibarr 10.0.1 HTTP Header htdocs/societe/card.php User-Agent cross site scripting


📈 63.92 Punkte
🕵️ Sicherheitslücken

🕵️ CVE-2024-34051 | Dolibarr ERP CRM up to 19.0.1 card.php facid cross site scripting


📈 59.9 Punkte
🕵️ Sicherheitslücken

🕵️ EspoCRM up to 5.6.5 Create User firstName/lastName Stored cross site scripting


📈 58.95 Punkte
🕵️ Sicherheitslücken

🕵️ PHP Scripts Mall Auditor Website 2.0.1 lastname/firstname cross site scripting


📈 56.74 Punkte
🕵️ Sicherheitslücken

🕵️ PHP Scripts Mall Car Rental Script 2.0.8 FirstName/LastName cross site scripting


📈 56.74 Punkte
🕵️ Sicherheitslücken

🕵️ PHP Scripts Mall Auditor Website 2.0.1 lastname/firstname Cross Site Scripting


📈 56.74 Punkte
🕵️ Sicherheitslücken

⚠️ #0daytoday #Dolibarr ERP-CRM 10.0.1 - User-Agent Cross-Site Scripting Vulnerability [#0day #Exploit]


📈 54.05 Punkte
⚠️ PoC

⚠️ [webapps] Dolibarr ERP-CRM 10.0.1 - 'User-Agent' Cross-Site Scripting


📈 54.05 Punkte
⚠️ PoC

🕵️ EspoCRM up to 5.6.5 Create Case firstName/lastName Stored cross site scripting


📈 53.25 Punkte
🕵️ Sicherheitslücken

🕵️ CVE-2013-2092 | Dolibarr ERP CRM 3.3.1 functions.lib.php cross site scripting (OSVDB-93257)


📈 51.83 Punkte
🕵️ Sicherheitslücken

🕵️ Dolibarr ERP/CRM up to 8.0.3 /exports/export.php datatoexport cross site scripting


📈 51.83 Punkte
🕵️ Sicherheitslücken

🕵️ Dolibarr ERP/CRM 4.0.4 doli/societe/list.php sall cross site scripting


📈 51.83 Punkte
🕵️ Sicherheitslücken

🕵️ Dolibarr ERP/CRM 4.0.4 doli/societe/list.php sall Cross Site Scripting


📈 51.83 Punkte
🕵️ Sicherheitslücken

🕵️ Dolibarr ERP CRM 11.0.3 card.php id sql injection


📈 50.99 Punkte
🕵️ Sicherheitslücken

🕵️ Dolibarr ERP CRM up to 5.0.3 product/stats/card.php type sql injection


📈 50.99 Punkte
🕵️ Sicherheitslücken

🕵️ Dolibarr 6.0.0 htdocs/admin/company.php Parameter cross site scripting


📈 50.14 Punkte
🕵️ Sicherheitslücken

matomo