nvd
Odoo
Уязвимости
54
Эксплуатируемые
0
Критический
6
Высокий
14
Топ продуктов
Топ уязвимостей
CVE-2023-48050Уязвимость SQL-инъекции в Cams Biometrics Zkteco, eSSL, Cams Biometrics Integration Module with HR Attendance (также известном как odoo-biometric-attendance) версий с 13.0 по 16.0.1 позволяет удаленному злоумышленнику выполнять произвольный код и получать привилегии через параметр db в компоненте controllers/controllers.py.
CVE-2018-14885Неправильный контроль доступа в компоненте диспетчера баз данных в Odoo Community 10.0 и 11.0 и Odoo Enterprise 10.0 и 11.0 позволяет удаленному злоумышленнику восстановить дамп базы данных, не зная пароль суперадминистратора. Произвольный пароль проходит успешно.
CVE-2017-10804В Odoo 8.0, Odoo Community Edition 9.0 и 10.0, а также Odoo Enterprise Edition 9.0 и 10.0 удаленные злоумышленники могут обходить аутентификацию при определенных обстоятельствах, поскольку параметры, содержащие символы 0x00, обрезаются до достижения уровня базы данных. Это происходит потому, что используется Psycopg 2.x до версии 2.6.3.
CVE-2021-44547Проблема с песочницей в Odoo Community 15.0 и Odoo Enterprise 15.0 позволяет прошедшим проверку подлинности администраторам выполнять произвольный код, что приводит к повышению привилегий.
CVE-2018-15632Неправильная проверка ввода в логике создания базы данных в Odoo Community 11.0 и более ранних версий и Odoo Enterprise 11.0 и более ранних версий позволяет удаленным злоумышленникам инициализировать пустую базу данных, к которой они могут подключиться с учетными данными по умолчанию.
CVE-2018-14860Неправильная очистка динамических пользовательских выражений в Odoo Community 11.0 и более ранних версиях и Odoo Enterprise 11.0 и более ранних версиях позволяет аутентифицированным привилегированным пользователям выходить из песочницы динамических выражений и выполнять произвольный код в хост-системе.
CVE-2024-12368Неправильный контроль доступа в модуле auth_oauth Odoo Community 15.0 и Odoo Enterprise 15.0 позволяет внутреннему пользователю экспортировать OAuth токены других пользователей.
CVE-2020-29396Проблема с песочницей в Odoo Community 11.0-13.0 и Odoo Enterprise 11.0-13.0 при работе с Python 3.6 или более поздней версии позволяет удаленным аутентифицированным пользователям выполнять произвольный код, что приводит к повышению привилегий.
CVE-2019-11781Неправильная проверка ввода в компоненте портала в Odoo Community 12.0 и более ранних версий и Odoo Enterprise 12.0 и более ранних версий позволяет удаленным злоумышленникам обманом заставить жертв изменить свою учетную запись с помощью специально созданных ссылок, что приводит к повышению привилегий.
CVE-2018-15640Неправильный контроль доступа в приложении Helpdesk Odoo Enterprise 10.0 до 12.0 позволяет удаленным аутентифицированным злоумышленникам получать повышенные привилегии через специально созданный запрос.
CVE-2017-10805В Odoo 8.0, Odoo Community Edition 9.0 и 10.0, а также Odoo Enterprise Edition 9.0 и 10.0 неправильный контроль доступа к токенам OAuth в модуле OAuth позволяет удаленным аутентифицированным пользователям перехватывать сеансы OAuth других пользователей.
CVE-2021-23186Проблема с песочницей в Odoo Community 15.0 и более ранних версиях и Odoo Enterprise 15.0 и более ранних версиях позволяет аутентифицированным администраторам получать доступ и изменять содержимое базы данных других клиентов в многоклиентской системе.
CVE-2021-23166Проблема с песочницей в Odoo Community 15.0 и более ранних версиях и Odoo Enterprise 15.0 и более ранних версиях позволяет аутентифицированным администраторам читать и записывать локальные файлы на сервере.
CVE-2021-45111Неправильный контроль доступа в Odoo Community 15.0 и более ранних версиях, а также Odoo Enterprise 15.0 и более ранних версиях позволяет удаленным аутентифицированным пользователям инициировать создание демонстрационных данных, включая учетные записи пользователей с известными учетными данными.
CVE-2019-11780Неправильный контроль доступа в системе вычисляемых полей фреймворка Odoo Community 13.0 и Odoo Enterprise 13.0 позволяет удаленным аутентифицированным злоумышленникам получать доступ к конфиденциальной информации через специально созданные RPC-запросы, что может привести к повышению привилегий.
CVE-2018-14863Неправильный контроль доступа в структуре RPC в Odoo Community с 8.0 по 11.0 и Odoo Enterprise с 9.0 по 11.0 позволяет аутентифицированным пользователям вызывать частные функции через RPC.
CVE-2018-14859Неправильный контроль доступа в компоненте сброса пароля в Odoo Community 11.0 и более ранних версиях и Odoo Enterprise 11.0 и более ранних версиях позволяет аутентифицированным пользователям сбрасывать пароль других пользователей, будучи первой стороной, использующей безопасный токен.
CVE-2021-23203Неправильный контроль доступа в механизме отчетности Odoo Community с 14.0 по 15.0 и Odoo Enterprise с 14.0 по 15.0 позволяет удаленным злоумышленникам загружать PDF-отчеты для произвольных документов через специально созданные запросы.
CVE-2021-23178Неправильный контроль доступа в Odoo Community 15.0 и более ранних версиях и Odoo Enterprise 15.0 и более ранних версиях позволяет злоумышленникам подтверждать онлайн-платежи с помощью токенизированного способа оплаты, принадлежащего другому пользователю, в результате чего оплата производится способом оплаты жертвы.
CVE-2018-14733Модуль Odoo Community Association (OCA) dbfilter_from_header делает Odoo 8.x, 9.x, 10.x и 11.x уязвимыми для ReDoS (отказ в обслуживании регулярных выражений) при определенных обстоятельствах.
CVE-2021-44476Проблема с песочницей в Odoo Community 15.0 и более ранних версиях и Odoo Enterprise 15.0 и более ранних версиях позволяет аутентифицированным администраторам читать локальные файлы на сервере, включая конфиденциальные файлы конфигурации.
CVE-2024-36259Некорректный контроль доступа в модуле почты Odoo Community 17.0 и Odoo Enterprise 17.0 позволяет удаленным авторизованным нападающим извлекать конфиденциальную информацию с помощью атаки, основанной на оркуле (ответ да/нет).
CVE-2021-44460Неправильный контроль доступа в Odoo Community 13.0 и более ранних версиях и Odoo Enterprise 13.0 и более ранних версиях позволяет пользователям с деактивированными учетными записями получать доступ к системе с деактивированной учетной записью и любыми разрешениями, которые она все еще имеет, через специально созданные RPC-запросы.
CVE-2021-23176Неправильный контроль доступа в механизме отчетности модуля l10n_fr_fec в Odoo Community 15.0 и более ранних версиях и Odoo Enterprise 15.0 и более ранних версиях позволяет удаленным аутентифицированным пользователям извлекать бухгалтерскую информацию через специально созданные RPC-пакеты.
CVE-2019-11784Неправильный контроль доступа в почтовом модуле (уведомления) в Odoo Community 14.0 и более ранних версий и Odoo Enterprise 14.0 и более ранних версий позволяет удаленным аутентифицированным пользователям получать доступ к произвольным сообщениям в беседах, в которых они не участвовали.