CVE-2022-0819

Versões do dolibarr/dolibarr anteriores à 15.0.1

A vulnerabilidade está relacionada à injeção de código no repositório GitHub do dolibarr/dolibarr. Ela envolve uma sanitização inadequada de funções PHP, o que pode levar à injeção de código PHP arbitrário e à execução de comandos arbitrários no sistema de arquivos. Especificamente, a função dol eval no arquivo dolibarr/htdocs/core/lib/functions.lib.php usa str replace para sanitização, mas isso pode ser contornado. A exploração envolve o uso de código específico no parâmetro $s.

Para versões anteriores à 15.0.1, atualize para a versão 15.0.1 ou posterior para resolver o problema. Como solução temporária, considere desativar a função dol eval no arquivo functions.lib.php até que um patch esteja disponível. Restrinja o acesso ao arquivo dolibarr/htdocs/core/lib/functions.lib.php para minimizar o risco de exploração. Evite usar o parâmetro $s na função afetada até que o problema seja resolvido.