🕵️ Dolibarr ERP/CRM 3.8.3 htdocs/user/card.php lastname/firstname/email/job/signature Cross Site Scripting
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80299
Betroffen: Dolibarr ERP/CRM 3.8.3
Veröffentlicht: 15.01.2016
Risiko: problematisch
Erstellt: 17.01.2016
Eintrag: 65.2% komplett
Beschreibung
In Dolibarr ERP sowie CRM 3.8.3 wurde eine problematische Schwachstelle entdeckt. Hierbei betrifft es eine unbekannte Funktion der Datei htdocs/user/card.php. Durch Beeinflussen des Arguments lastname/firstname/email/job/signature
mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:
Multiple cross-site scripting (XSS) vulnerabilities in Dolibarr ERP/CRM 3.8.3 allow remote authenticated users to inject arbitrary web script or HTML via the (1) lastname, (2) firstname, (3) email, (4) job, or (5) signature parameter to htdocs/user/card.php.
Die Schwachstelle wurde am 15.01.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-1912 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 4.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
15.01.2016 | Advisory veröffentlicht
17.01.2016 | VulDB Eintrag erstellt
17.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-1912 (mitre.org) (nvd.nist.org) (cvedetails.com)
...