Dolibarr Core selectobject.php में प्रमाणित लोकल फ़ाइल इन्क्लूज़न (Local File Inclusion) के माध्यम से संवेदनशील डेटा का खुलासा करता है

Dolibarr एक एंटरप्राइज रिसोर्स प्लानिंग (ERP) और कस्टमर रिलेशनशिप मैनेजमेंट (CRM) सॉफ्टवेयर पैकेज है। संस्करण 22.0.4 और उससे पहले के संस्करणों में, कोर AJAX एंडपॉइंट /core/ajax/selectobject.php में एक लोकल फ़ाइल इन्क्लूज़न (LFI) भेद्यता है। objectdesc पैरामीटर में हेरफेर करके और कोर एक्सेस कंट्रोल फ़ंक्शन restrictedArea() में फ़ेल-ओपन लॉजिक दोष का फायदा उठाकर, बिना किसी विशिष्ट विशेषाधिकार वाला एक प्रमाणित उपयोगकर्ता सर्वर पर मनमानी गैर-PHP फ़ाइलों (जैसे .env, .htaccess, कॉन्फ़िगरेशन बैकअप, या लॉग...) की सामग्री को पढ़ सकता है। प्रकाशन के समय, सार्वजनिक रूप से उपलब्ध कोई पैच नहीं हैं।