一、 漏洞 CVE-2021-47779 基础信息

                                        # Dolibarr 14.0.2 XSS及权限提升漏洞

N/A
                                        

二、漏洞 CVE-2021-47779 的公开POC

三、漏洞 CVE-2021-47779 的情报信息

• 标题： Dolibarr ERP-CRM 14.0.2 - Stored Cross-Site Scripting (XSS) / Privilege Escalation - PHP webapps Exploit -- 🔗来源链接

  标签：exploit

  神龙速读：

                                          ### 关键信息
  
  - **漏洞名称**: Dolibarr ERP-CRM 14.0.2 - Stored Cross-Site Scripting (XSS) / Privilege Escalation
  - **EDB-ID**: 50432
  - **CVE**: N/A
  - **作者**: Oscar Gutierrez (m4xp0w3r)
  - **类型**: WEBAPPS
  - **平台**: PHP
  - **日期**: 2021-10-20
  - **受影响的应用**: Dolibarr ERP & CRM v14.0.2
  
  ### 漏洞描述
  Dolibarr ERP & CRM v14.0.2 存在一个存储型XSS漏洞，存在于工单创建流程中，允许低权限用户（拥有工单模块完全访问权限）获得完全权限。要利用此攻击向量，需要管理员用户在“消息”框中复制文本。
  
  ### 测试环境
  - **测试平台**: Ubuntu, LAMP
  - **Vendor Homepage**: https://www.dolibarr.org/
  - **Software Link**: https://github.com/Dolibarr
  - **Vendor**: Dolibarr
  - **Version**: v14.0.2
                                          

  

• 标题： Dolibarr ERP & CRM · GitHub -- 🔗来源链接

  标签：product

  神龙速读：

                                          - **Vulnerability Context:** 
  The screenshot is from the Github page of the Dolibarr ERP & CRM open-source project. There is a pinned repository named `dolibarr-unmaintained`, which describes some community modules that aren't included in the main branch. The reason given is that such modules are either buggy, not sufficiently tested, not widely used, or duplicated. `Warning` is mentioned in its description specifically stating that some parts might not work on a recent Dolibarr version.
  - **Potential Vulnerability:** 
  Managing unmaintained modules exposes a considerable risk. Buggy and untested code is more likely harboring security flaws. The warning also suggests that not all code has kept up with the latest Dolibarr versions, possibly featuring vulnerabilities that have already been patched in newer Dolibarr releases. This scenario creates a threat to any user who installs these unmaintained modules.
                                          

  

• 标题： Dolibarr Open Source ERP and CRM - Web suite for business -- 🔗来源链接

  标签：product

  神龙速读：

                                          从这个网页截图中，可以获取到以下关于漏洞的关键信息：
  
  - **开源软件模型**：Dolibarr采用FOSS（Free Open Source Software）模型，这意味着它是一个开源项目，任何人都可以查看和修改源代码。这可能意味着存在潜在的安全风险，因为如果代码没有得到充分的审查和维护，可能会有安全漏洞。
  
  - **社区贡献**：Dolibarr依赖于一个由开发者、翻译者、测试者和设计师组成的志愿者社区来管理和开发。虽然这有助于快速修复已知问题，但也可能引入新的漏洞，特别是如果贡献者的安全意识不足或代码审查不严格。
  
  - **多分发模型**：Dolibarr可以在本地或云端安装使用，这意味着不同的部署环境可能会有不同的安全配置和风险。例如，云部署可能面临更多的网络攻击，而本地部署则可能面临物理安全威胁。
  
  - **最新新闻**：页面上显示了最新的版本发布和更新信息，这对于跟踪已知漏洞和安全补丁非常重要。用户应该定期检查这些更新，以确保他们的Dolibarr安装是最新的，并且已经修复了已知的安全问题。
  
  - **文档和论坛**：Dolibarr提供了详细的文档和社区论坛，这对于了解如何正确配置和使用软件以减少安全风险非常有帮助。用户应该利用这些资源来学习最佳实践和解决遇到的问题。
  
  总的来说，虽然Dolibarr作为一个开源ERP和CRM解决方案提供了许多优点，但用户需要意识到潜在的安全风险，并采取适当的措施来保护他们的系统。这包括定期更新软件、遵循安全最佳实践、监控社区论坛以了解最新的安全动态，并在必要时寻求专业的安全建议。
                                          

  

• 标题： Dolibarr ERP-CRM 14.0.2 - Stored Cross-Site Scripting (XSS) / Privilege Escalation | Advisories | VulnCheck -- 🔗来源链接

  标签：third-party-advisory

  神龙速读：

                                          # 漏洞关键信息
  
  ## 漏洞名称
  Dolibarr ERP-CRM 14.0.2 - Stored Cross-Site Scripting (XSS) / Privilege Escalation
  
  ## 严重性
  HIGH
  
  ## 日期
  January 15, 2026
  
  ## 影响版本
  CRM 14.0.2
  
  ## CVE ID
  CVE-2021-47779
  
  ## CWE ID
  CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
  
  ## CVSS 评分
  AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
  
  ## 参考资料
  - ExploitDB-50432
  - Official Dolibarr Vendor Homepage
  - Dolibarr GitHub Repository
  
  ## 发现者
  Oscar Gutierrez (m4xp0w3r)
  
  ## 描述
  Dolibarr ERP-CRM 14.0.2 在 ticket creation 模块中存在存储型跨站脚本漏洞，允许低权限用户注入恶意脚本。攻击者可以通过设计特定的 ticket 消息嵌入 JavaScript，在管理员复制文本时触发，可能允许权限提升。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2021-47779

四、漏洞 CVE-2021-47779 的评论