Plattform
php
Komponente
dolibarr
Behoben in
8.0.5
8.0.5
CVE-2019-25710 describes a SQL injection vulnerability discovered in Dolibarr ERP-CRM. This flaw allows attackers to inject arbitrary SQL queries, potentially leading to unauthorized access to sensitive data. The vulnerability impacts Dolibarr ERP-CRM version 8.0.4. A fix is available through upgrading to a patched version.
CVE-2019-25710 in Dolibarr ERP-CRM 8.0.4 stellt ein erhebliches Sicherheitsrisiko dar. Es handelt sich um eine SQL-Injection-Schwachstelle im Parameter 'rowid' des Endpunkts 'dict.php' im Administrationsbereich. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er bösartigen SQL-Code über den POST-Parameter 'rowid' einspeist. Dies ermöglicht die Ausführung beliebiger SQL-Abfragen, was potenziell zur Extraktion sensibler Datenbankinformationen wie Benutzeranmeldedaten, Finanzdaten oder vertraulicher Kundendaten führen kann. Das Fehlen eines offiziellen Fixes (fix: none) verschärft die Situation und erfordert sofortige Maßnahmen zur Abschwächung, um Dolibarr-Systeme zu schützen.
Die Schwachstelle wird über den Endpunkt 'dict.php' im Administrationsbereich von Dolibarr ausgenutzt. Ein Angreifer kann eine manipulierte POST-Anfrage an den Endpunkt senden und bösartigen SQL-Code innerhalb des Parameters 'rowid' einschließen. Der injizierte SQL-Code wird im Kontext der Dolibarr-Datenbank ausgeführt, wodurch der Angreifer Daten abrufen oder ändern kann. Die Ausnutzung basiert auf fehlerbasierten SQL-Injection-Techniken, bei denen der Angreifer Datenbankfehler ausnutzt, um Informationen zu extrahieren. Das Fehlen einer ordnungsgemäßen Authentifizierung oder Autorisierung am Endpunkt 'dict.php' erleichtert die Ausnutzung, da ein Angreifer ihn möglicherweise ohne gültige Anmeldedaten erreichen kann.
Organizations utilizing Dolibarr ERP-CRM version 8.0.4, particularly those handling sensitive financial or customer data, are at significant risk. Shared hosting environments where multiple users share the same database instance are especially vulnerable, as a compromise of one user's account could potentially expose data for other users.
• php / web:
grep -r "dict.php?rowid=" /var/www/dolibarr/*• generic web:
curl -I http://your-dolibarr-instance/dict.php?rowid=1' UNION SELECT 1,version(),user() -- -disclosure
Exploit-Status
EPSS
0.03% (8% Perzentil)
CVSS-Vektor
Angesichts des Fehlens eines offiziellen Fixes für CVE-2019-25710 konzentriert sich die Abschwächung auf präventive und restriktive Maßnahmen. Es wird dringend empfohlen, auf eine Dolibarr-Version zu aktualisieren, die diese Schwachstelle behebt (falls verfügbar). In der Zwischenzeit sollten strenge Zugriffskontrollen implementiert werden, um den Zugriff auf den Endpunkt 'dict.php' zu beschränken. Eine strenge Validierung und Bereinigung aller Benutzereingaben, insbesondere des Parameters 'rowid', ist entscheidend. Überwachen Sie regelmäßig die Systemprotokolle auf verdächtige Aktivitäten, die eine Ausnutzung anzeigen könnten. Erwägen Sie den Einsatz einer Web Application Firewall (WAF) für eine zusätzliche Schutzschicht.
Aktualisieren Sie Dolibarr ERP-CRM auf eine korrigierte Version. Konsultieren Sie die Dolibarr-Seite für Informationen zu verfügbaren Updates und Migrationsanweisungen. Stellen Sie sicher, dass Sie ein Backup Ihrer Datenbank erstellen, bevor Sie Updates anwenden.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es bedeutet, dass der Dolibarr-Anbieter kein offizielles Update zur Behebung dieser Schwachstelle veröffentlicht hat.
Implementieren Sie die beschriebenen Abschwächungsmaßnahmen, wie z. B. strenge Zugriffskontrollen, Eingabevalidierung und Protokollüberwachung.
Ja, wenn der Endpunkt 'dict.php' über das Internet erreichbar ist, kann die Schwachstelle aus der Ferne ausgenutzt werden.
Alle Daten, die in der Datenbank von Dolibarr gespeichert sind, einschließlich Benutzeranmeldedaten, Finanzdaten und Kundeninformationen.
Eine Web Application Firewall (WAF) ist ein Sicherheitstool, das den HTTP-Verkehr filtert und Angriffe wie SQL-Injection blockieren kann.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.