Katalog CVE

CVE-2025-69634

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność typu Cross Site Request Forgery w Dolibarr ERP & CRM w wersji 22.0.9 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez pole notatek w perms.php. Istnieją jednak kontrowersje dotyczące tej podatności, ponieważ niektórzy twierdzą, że wykorzystanie jej jest możliwe tylko wtedy, gdy nieuprzywilejowany użytkownik zna token użytkownika z uprawnieniami administratora.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do zasobów, jeśli atakujący zdoła wykorzystać tę podatność. W przypadku eskalacji uprawnień, atakujący może uzyskać pełną kontrolę nad systemem.

Rekomendacja

Zaleca się aktualizację Dolibarr ERP & CRM do najnowszej wersji, aby zminimalizować ryzyko związane z tą podatnością. Dodatkowo, warto wprowadzić dodatkowe środki zabezpieczające, takie jak weryfikacja tokenów użytkowników.

Oryginalny opis (angielski, źródło NVD)

Cross Site Request Forgery vulnerability in Dolibarr ERP & CRM v.22.0.9 allows a remote attacker to escalate privileges via the notes field in perms.php NOTE: this is disputed by a third party who indicates that exploitation can only occur if an unprivileged user knows the token of an admin user.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS