CVE-2025-69634
CriticalSummary
Podatność typu Cross Site Request Forgery w Dolibarr ERP & CRM w wersji 22.0.9 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez pole notatek w perms.php. Istnieją jednak kontrowersje dotyczące tej podatności, ponieważ niektórzy twierdzą, że wykorzystanie jej jest możliwe tylko wtedy, gdy nieuprzywilejowany użytkownik zna token użytkownika z uprawnieniami administratora.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do zasobów, jeśli atakujący zdoła wykorzystać tę podatność. W przypadku eskalacji uprawnień, atakujący może uzyskać pełną kontrolę nad systemem.
Recommendation
Zaleca się aktualizację Dolibarr ERP & CRM do najnowszej wersji, aby zminimalizować ryzyko związane z tą podatnością. Dodatkowo, warto wprowadzić dodatkowe środki zabezpieczające, takie jak weryfikacja tokenów użytkowników.
Original NVD description (English source)
Cross Site Request Forgery vulnerability in Dolibarr ERP & CRM v.22.0.9 allows a remote attacker to escalate privileges via the notes field in perms.php NOTE: this is disputed by a third party who indicates that exploitation can only occur if an unprivileged user knows the token of an admin user.

