CVE-2021-25955

Dolibarr ERP CRM, versões 2.8.1 a 13.0.2

O problema está relacionado a uma vulnerabilidade XSS armazenada no módulo Editor WYSIWYG. Essa vulnerabilidade permite que usuários da aplicação com privilégios baixos armazenem scripts maliciosos no campo Private Note no endpoint “/adherents/note.php?id=1”. Quando uma vítima abre a página contendo o campo vulnerável, os scripts são executados em seu navegador. No pior cenário, a vítima pode ser um administrador com privilégios elevados, e os scripts injetados podem extrair o ID da sessão, levando à apropriação total da conta. Além disso, devido a outra vulnerabilidade (Controle de Acesso Inadequado em Notas Privadas), um usuário com privilégios limitados pode atualizar notas privadas, o que poderia levar à escalada de privilégios.

Para as versões 2.8.1 a 13.0.2, como solução temporária, considere desativar o módulo Editor WYSIWYG até que um patch esteja disponível. Restrinja o acesso ao endpoint “/adherents/note.php?id=1” para minimizar o risco de exploração. Evite usar o campo Nota Privada no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.