CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-69634

Critical
Published: Translated: NVD NIST

Summary

Podatność typu Cross Site Request Forgery w Dolibarr ERP & CRM w wersji 22.0.9 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez pole notatek w perms.php. Istnieją jednak kontrowersje dotyczące tej podatności, ponieważ niektórzy twierdzą, że wykorzystanie jej jest możliwe tylko wtedy, gdy nieuprzywilejowany użytkownik zna token użytkownika z uprawnieniami administratora.

Risk Assessment

Organizacja może być narażona na nieautoryzowany dostęp do zasobów, jeśli atakujący zdoła wykorzystać tę podatność. W przypadku eskalacji uprawnień, atakujący może uzyskać pełną kontrolę nad systemem.

Recommendation

Zaleca się aktualizację Dolibarr ERP & CRM do najnowszej wersji, aby zminimalizować ryzyko związane z tą podatnością. Dodatkowo, warto wprowadzić dodatkowe środki zabezpieczające, takie jak weryfikacja tokenów użytkowników.

Original NVD description (English source)

Cross Site Request Forgery vulnerability in Dolibarr ERP & CRM v.22.0.9 allows a remote attacker to escalate privileges via the notes field in perms.php NOTE: this is disputed by a third party who indicates that exploitation can only occur if an unprivileged user knows the token of an admin user.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS