Dolibarr ERP-CRM 8.0.4 rowid पैरामीटर के माध्यम से SQL इंजेक्शन

CVE-2019-25710 Dolibarr ERP-CRM 8.0.4 में एक महत्वपूर्ण सुरक्षा जोखिम प्रस्तुत करता है। यह एक SQL इंजेक्शन भेद्यता है जो प्रशासन अनुभाग में 'dict.php' एंडपॉइंट के 'rowid' पैरामीटर में स्थित है। एक हमलावर 'rowid' POST पैरामीटर के माध्यम से दुर्भावनापूर्ण SQL कोड इंजेक्ट करके इस भेद्यता का फायदा उठा सकता है। यह मनमाना SQL प्रश्नों को निष्पादित करने की अनुमति देता है, जिसके परिणामस्वरूप उपयोगकर्ता क्रेडेंशियल, वित्तीय डेटा या गोपनीय ग्राहक जानकारी जैसे संवेदनशील डेटाबेस जानकारी का निष्कर्षण हो सकता है। आधिकारिक फिक्स (fix: none) की अनुपस्थिति स्थिति को बढ़ा देती है, जिससे Dolibarr सिस्टम की सुरक्षा के लिए तत्काल शमन उपायों की आवश्यकता होती है।

Organizations utilizing Dolibarr ERP-CRM version 8.0.4, particularly those handling sensitive financial or customer data, are at significant risk. Shared hosting environments where multiple users share the same database instance are especially vulnerable, as a compromise of one user's account could potentially expose data for other users.

• php / web:

grep -r "dict.php?rowid=" /var/www/dolibarr/*

• generic web:

curl -I http://your-dolibarr-instance/dict.php?rowid=1' UNION SELECT 1,version(),user() -- -

1. 2026-04-12Disclosure

   disclosure

1. आरक्षित2026-04-12
2. प्रकाशित2026-04-12
3. EPSS अद्यतन2026-04-20

CVE-2019-25710 के लिए आधिकारिक फिक्स की कमी को देखते हुए, शमन निवारक और प्रतिबंधात्मक उपायों पर केंद्रित है। यदि उपलब्ध हो तो इस भेद्यता को संबोधित करने वाले Dolibarr संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। इस बीच, 'dict.php' एंडपॉइंट तक पहुंच को सीमित करने के लिए सख्त एक्सेस नियंत्रण लागू करें। विशेष रूप से 'rowid' पैरामीटर सहित सभी उपयोगकर्ता इनपुट का कड़ाई से सत्यापन और स्वच्छता महत्वपूर्ण है। शोषण के किसी भी प्रयास का संकेत देने वाली संदिग्ध गतिविधि के लिए सिस्टम लॉग की नियमित रूप से निगरानी करें। अतिरिक्त सुरक्षा परत के रूप में Web Application Firewall (WAF) को तैनात करने पर विचार करें।