CVE-2020-13828

Dolibarr versão 11.0.4

O problema diz respeito a várias vulnerabilidades de Cross-Site Scripting (XSS) armazenadas. Elas poderiam permitir que invasores remotos autenticados injetassem scripts da web ou HTML arbitrários. Isso pode ser feito por meio de vários pontos de extremidade da API, incluindo “ticket/card.php?action=create” com os parâmetros subject, message ou address, “adherents/card.php” com o parâmetro societe ou address, “product/card.php” com o parâmetro label ou customcode, ou “societe/card.php” com o parâmetro alias ou barcode.

Para a versão 11.0.4 do Dolibarr, atualize para uma versão que inclua uma correção para essas vulnerabilidades XSS armazenadas. Como solução temporária, considere restringir o acesso aos pontos de extremidade da API afetados, como “ticket/card.php?action=create”, “adherents/card.php”, “product/card.php” e “societe/card.php”, para minimizar o risco de exploração. Além disso, limite o uso de parâmetros vulneráveis como subject, message, address, societe, label, customcode, alias e barcode nesses pontos de extremidade até que um patch esteja disponível.