CVE-2024-23817— Dolibarr 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2024-23817 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Dolibarr Application Home Page HTML injection vulnerability
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Dolibarr is an enterprise resource planning (ERP) and customer relationship management (CRM) software package. Version 18.0.4 has a HTML Injection vulnerability in the Home page of the Dolibarr Application. This vulnerability allows an attacker to inject arbitrary HTML tags and manipulate the rendered content in the application's response. Specifically, I was able to successfully inject a new HTML tag into the returned document and, as a result, was able to comment out some part of the Dolibarr App Home page HTML code. This behavior can be exploited to perform various attacks like Cross-Site Scripting (XSS). To remediate the issue, validate and sanitize all user-supplied input, especially within HTML attributes, to prevent HTML injection attacks; and implement proper output encoding when rendering user-provided data to ensure it is treated as plain text rather than executable HTML.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Dolibarr 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Dolibarr是一个应用软件。一个现代软件包,可帮助管理您组织的活动。 Dolibarr 18.0.4版本存在安全漏洞,该漏洞源于应用程序的主页中存在 HTML 注入漏洞,允许攻击者注入任意 HTML 标签并操纵应用程序响应中呈现的内容。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
二、漏洞 CVE-2024-23817 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2024-23817 的情报信息
请登录查看更多情报信息。
CVE-2024-23817 厂商安全公告 (1)
- https://github.com/Dolibarr/dolibarr/security/advisories/GHSA-7947-48q7-cp5mx_refsource_CONFIRM
IV. Related Vulnerabilities
V. Comments for CVE-2024-23817
暂无评论