CVE-2020-7994

Dolibarr versão 10.0.6

Várias vulnerabilidades de cross-site scripting (XSS) permitem que invasores remotos injetem scripts web ou HTML arbitrários por meio de diversos parâmetros em diferentes páginas, incluindo o parâmetro label[libelle] na página “/htdocs/admin/dict.php?id=3”, o parâmetro name[constname] na página “/htdocs/admin/const.php?mainmenu=home”, o parâmetro note[note] na página “/htdocs/admin/dict.php?id=10”, o parâmetro zip[MAIN INFO SOCIETE ZIP] ou email[mail] na página “/htdocs/admin/company.php”, o parâmetro url[defaulturl], field[defaultkey], ou value[defaultvalue] para a página “/htdocs/admin/defaultvalues.php”, o parâmetro key[transkey] ou key[transvalue] para a página “/htdocs/admin/translation.php”, ou o parâmetro [main motd] ou [main home] para a página “/htdocs/admin/ihm.php”.

Como solução temporária, considere desativar o acesso aos pontos de extremidade da API vulneráveis até que um patch esteja disponível.

Restrinja a entrada dos parâmetros label[libelle], name[constname], note[note], zip[MAIN INFO SOCIETE ZIP], email[mail], url[defaulturl], field[defaultkey], value[defaultvalue], key[transkey], key[transvalue], [main motd] e [main home] para impedir a injeção arbitrária de scripts web ou HTML.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.