PT-2020-10092 · Dolibarr · Dolibarr Erp/Crm

Daniel Hoffmann

Publicado

2020-03-16

Atualizado

2022-05-24

CVE-2019-19212

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Dolibarr ERP/CRM, versões 3.0 a 10.0.3

Descrição

A vulnerabilidade permite um ataque XSS por meio do parâmetro qty no endpoint “product/fournisseurs.php”, que corresponde à tela de preços dos produtos.

Recomendações

Para as versões 3.0 a 10.0.3, evite usar o parâmetro qty no endpoint “product/fournisseurs.php” até que o problema seja resolvido.

Como solução alternativa temporária, considere restringir o acesso ao endpoint “product/fournisseurs.php” para minimizar o risco de exploração.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2019-19212

GHSA-PM57-926C-28MR

Produtos afetados

Dolibarr Erp/Crm

PT-2020-10092 · Dolibarr · Dolibarr Erp/Crm

CVE-2019-19212

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 11