| 厂商 |  |
| 产品 | Dolibarr |
| 受影响的版本 | 5.0.3及之前版本 |
| 测试版本 | 5.0.3 |
| 漏洞发现日期 | 2017-6-3 |
| 厂商通知日期 | 2017-6-6 |
| 预警公告日期 | 2017-6-7【无技术细节】 |
| 厂商确认日期 | 2017-6-18 |
| 厂商修复日期 | 计划版本5.0.4 |
| 公开披露日期 | 无 |
| 最新修正日期 | 2017-7-30 |
| CVE ID | CVE-2017-9840 |
| 产品描述 | Dolibarr ERP / CRM是一个开源的免费软件包,适用于中小型企业,基金会或自由职业者。它包括企业资源规划(ERP)和客户关系管理(CRM)的不同功能,还包括不同活动的其他功能。 |
| 发现者 | Yann Chalençon, 安全研究员和渗透测试员 @zteaude group |
漏洞描述
| 任意上传危险文件漏洞 | |||
| 严重程度: 高 | CVSS 分数: 8.8 | CWE-ID: CWE-434 | 状态: 未修复 |
| 漏洞详情 | |||
| Dolibarr 5.0.3及更早版本允许低权限用户上传危险类型的文件,这可能导致在脆弱的应用程序中执行任意代码。 | |||
| CVSS基准分 | |||
| 攻击媒介 | 网络 | 范围 | 不变 |
| 攻击复杂度 | 低 | 保密性影响 | 高 |
| 所需特权 | 低 | 一致性影响 | 高 |
| 用户互动 | 无 | 可用性影响 | 高 |
详情
一旦厂商提供补丁,就会披露有关该漏洞的全面细节。