Dolibarr
Уязвимости
149
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.86988
Распределение по критичности
Критический
34
Высокий
45
Средний
68
Низкий
2
Также сопоставлено как (исходные строки): dolibarr
Топ уязвимостей
CVE-2022-43138Dolibarr Open Source ERP & CRM for Business до версии v14.0.1 позволяет злоумышленникам повышать привилегии через специально созданный API.
CVE-2022-4093Атаки SQL-инъекций могут привести к несанкционированному доступу к конфиденциальным данным, таким как пароли, данные кредитных карт или личная информация пользователей. Многие громкие утечки данных в последние годы стали результатом атак SQL-инъекций, что привело к репутационному ущербу и штрафам со стороны регулирующих органов. В некоторых случаях злоумышленник может получить постоянный бэкдор в системы организации, что приведет к долгосрочному компрометации, который может остаться незамеченным в течение длительного периода времени. Это затрагивает только версии 16.0.1 и 16.0.2. Версии 16.0.0 или ниже и 16.0.3 или выше не затрагиваются.
CVE-2022-40871Dolibarr ERP & CRM <=15.0.3 уязвим к Eval injection. По умолчанию любого администратора можно добавить на страницу установки dolibarr, и в случае успешного добавления вредоносный код можно вставить в базу данных, а затем выполнить его с помощью eval.
CVE-2022-0224dolibarr уязвим для Improper Neutralization of Special Elements used in an SQL Command.
CVE-2021-33816Модуль построителя веб-сайтов в Dolibarr 13.0.2 допускает удаленное выполнение PHP-кода из-за неполного механизма защиты, в котором system, exec и shell_exec заблокированы, но обратные кавычки не заблокированы.
CVE-2020-7995Страница входа htdocs/index.php?mainmenu=home в Dolibarr 10.0.6 допускает неограниченное количество неудачных попыток аутентификации.
CVE-2019-19212Dolibarr ERP/CRM с 3.0 по 10.0.3 допускает XSS через параметр qty в product/fournisseurs.php (экран цены продукта).
CVE-2018-9019Уязвимость SQL-инъекции в Dolibarr до версии 7.0.2 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр sortfield в /accountancy/admin/accountmodel.php, /accountancy/admin/categories_list.php, /accountancy/admin/journals_list.php, /admin/dict.php, /admin/mails_templates.php или /admin/website.php.
CVE-2018-16809Обнаружена проблема в Dolibarr до 7.0.0. expensereport/card.php в модуле отчетов о расходах допускает SQL-инъекцию через целочисленные параметры qty и value_unit.
CVE-2018-13450Уязвимость SQL-инъекции в product/card.php в Dolibarr ERP/CRM версии 7.0.3 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр status_batch.
CVE-2018-13449Уязвимость SQL-инъекции в product/card.php в Dolibarr ERP/CRM версии 7.0.3 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр statut_buy.
CVE-2018-13448Уязвимость SQL-инъекции в product/card.php в Dolibarr ERP/CRM версии 7.0.3 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр country_id.
CVE-2018-13447Уязвимость SQL-инъекции в product/card.php в Dolibarr ERP/CRM версии 7.0.3 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр statut.
CVE-2018-10094Уязвимость SQL-инъекции в Dolibarr до версии 7.0.2 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через векторы, включающие целочисленные параметры без кавычек.
CVE-2017-9435Dolibarr ERP/CRM до 5.0.3 уязвим для SQL-инъекции в user/index.php (параметры search_supervisor и search_statut).
CVE-2017-7888Dolibarr ERP/CRM 4.0.4 хранит пароли с алгоритмом MD5, что облегчает атаки методом перебора.
CVE-2017-7886Dolibarr ERP/CRM 4.0.4 имеет SQL Injection в doli/theme/eldy/style.css.php через параметр lang.
CVE-2017-17900Уязвимость SQL-инъекции в fourn/index.php в Dolibarr ERP/CRM версии 6.0.4 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр socid.
CVE-2017-17899Уязвимость SQL-инъекции в adherents/subscription/info.php в Dolibarr ERP/CRM версии 6.0.4 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр rowid.
CVE-2017-17897Уязвимость SQL-инъекции в comm/multiprix.php в Dolibarr ERP/CRM версии 6.0.4 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр id.
CVE-2017-14242Уязвимость SQL-инъекции в don/list.php в Dolibarr версии 6.0.0 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр statut.
CVE-2017-14238Уязвимость SQL-инъекции в admin/menus/edit.php в Dolibarr ERP/CRM версии 6.0.0 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр menuId.
CVE-2013-2093Dolibarr ERP/CRM 3.3.1 неправильно проверяет пользовательский ввод в viewimage.php и barcode.lib.php, что позволяет удаленным злоумышленникам выполнять произвольные команды.
CVE-2013-2091Уязвимость SQL-инъекции в Dolibarr ERP/CRM 3.3.1 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр 'pays' в fiche.php.
CVE-2023-38888Уязвимость межсайтового скриптинга в Dolibarr ERP CRM v.17.0.1 и более ранних версиях позволяет удаленному злоумышленнику получить конфиденциальную информацию и выполнить произвольный код через модуль REST API, связанный с analyseVarsForSqlAndScriptsInjection и testSqlAndScriptInject.