CVSS: 4.3EPSS: 1%CPEs: 2EXPL: 3CVE-2015-3935 – Dolibarr 3.5 / 3.6 HTML Injection
https://notcve.org/view.php?id=CVE-2015-3935
Multiple cross-site scripting (XSS) vulnerabilities in Dolibarr ERP/CRM 3.5 and 3.6 allow remote attackers to inject arbitrary web script or HTML via the Business Search (search_nom) field to (1) htdocs/societe/societe.php or (2) htdocs/societe/admin/societe.php. Múltiples vulnerabilidades de XSS en Dolibarr ERP/CRM 3.5 y 3.6 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del campo Business Search (search_nom) para (1) htdocs/societe/societe.php o (2) htdocs/societe/admin/societe.php. Dolibarr versions 3.5 and 3.6 suffer from an html injection vulnerability. • http://packetstormsecurity.com/files/132108/Dolibarr-3.5-3.6-HTML-Injection.html http://seclists.org/fulldisclosure/2015/May/126 http://www.securityfocus.com/bid/74926 https://github.com/Dolibarr/dolibarr/issues/2857 https://github.com/GPCsolutions/dolibarr/commit/a7f6bbd316e9b96216e9b2c7a065c9251c9a8907 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 2CVE-2014-7137 – Dolibarr ERP And CRM 3.5.3 SQL Injection
https://notcve.org/view.php?id=CVE-2014-7137
Multiple SQL injection vulnerabilities in Dolibarr ERP/CRM before 3.6.1 allow remote authenticated users to execute arbitrary SQL commands via the (1) contactid parameter in an addcontact action, (2) ligne parameter in a swapstatut action, or (3) project_ref parameter to projet/tasks/contact.php; (4) lineid parameter in a deletecontact action, (5) ligne parameter in a swapstatut action, or (6) ref parameter to projet/contact.php; (7) id parameter to compta/bank/fiche.php, (8) contact/info.php, (9) holiday/index.php, (10) product/stock/fiche.php, (11) product/stock/info.php, or (12) in an edit action to product/stock/fiche.php; (13) productid parameter in an addline action to product/stock/massstockmove.php; (14) project_ref parameter to projet/tasks/note.php; (15) ref parameter to element.php, (16) ganttview.php, (17) note.php, or (18) tasks.php in projet/; (19) sall or (20) sref parameter to comm/mailing/liste.php; (21) search_bon, (22) search_ligne, (23) search_societe, or (24) search_code parameter to compta/prelevement/liste.php; (25) search_label parameter to compta/sociales/index.php; (26) search_project parameter to projet/tasks/index.php; (27) search_societe parameter to compta/prelevement/demandes.php; (28) search_statut parameter to user/index.php; (29) socid parameter to compta/recap-compta.php, (30) societe/commerciaux.php, or (31) societe/rib.php; (32) sortorder, (33) sref, (34) sall, or (35) sortfield parameter to product/stock/liste.php; (36) statut parameter to adherents/liste.php or (37) compta/dons/liste.php; (38) tobuy or (39) tosell parameter to product/liste.php; (40) tobuy, (41) tosell, (42) search_categ, or (43) sref parameter to product/reassort.php; (44) type parameter to product/index.php; or the (a) sortorder or (b) sortfield parameter to (45) compta/paiement/cheque/liste.php, (46) compta/prelevement/bons.php, (47) compta/prelevement/rejets.php, (48) product/stats/commande.php, (49) product/stats/commande_fournisseur.php, (50) product/stats/contrat.php, (51) product/stats/facture.php, (52) product/stats/facture_fournisseur.php, (53) product/stats/propal.php, or (54) product/stock/replenishorders.php. Múltiples vulnerabilidades de inyección SQL en Dolibarr ERP/CRM anterior a versión 3.6.1, permiten a los usuarios autenticados remotos ejecutar comandos SQL arbitrarios por medio del (1) parámetro contactid en una acción addcontact, (2) parámetro ligne en una acción swapstatut, o (3) parámetro project_ref en el archivo projet/tasks/contact.php; (4) parámetro lineid en una acción deletecontact, (5) parámetro ligne en una acción swapstatut, o (6) parámetro ref en el archivo projet/contact.php; (7) parámetro id en el archivo compta/bank/fiche.php, (8) contact/info.php, (9) holiday/index.php, (10) product/stock/fiche.php, (11) product/stock/info.php, o (12) en una acción edit en el archivo product/stock/fiche.php; (13) parámetro productid en una acción addline en el archivo product/stock/massstockmove.php; (14) parámetro project_ref en el archivo projet/tasks/note.php; (15) parámetro ref en el archivo element.php, (16) ganttview.php, (17) note.php, o (18) tasks.php en projet/; parámetro (19) sall o (20) sref en el archivo comm/mailing/liste.php; parámetro (21) search_bon, (22) search_ligne, (23) search_societe o (24) search_code en el archivo compta/prelevement/liste.php; (25) parámetro search_label en el archivo compta/social/index.php; (26) parámetro search_project en el archivo projet/tasks/index.php; (27) parámetro search_societe en el archivo compta/prelevement/demandes.php; (28) parámetro search_statut en el archivo user/index.php; (29) parámetro socid en el archivo compta/recap-compta.php, (30) societe/commerciaux.php, o (31) societe/rib.php; parámetro (32) sortorder, (33) sref, (34) sall, o (35) sortfield en el archivo product/stock/liste.php; (36) parámetro statut en el archivo adherents/liste.php o (37) compta/dons/liste.php; parámetro (38) tobuy o (39) tosell en el archivo product/liste.php; parámetro (40) tobuy, (41) tosell, (42) search_categ o (43) sref en el archivo product/reassort.php; (44) parámetro type en el archivo product/index.php; o el parámetro (a) sortorder o (b) sortfield en el archivo (45) compta/paiement/cheque/liste.php, (46) compta/prelevement/bons.php, (47) compta/prelevement/rejets.php, (48) product/stats/commande.php, (49) product/stats/commande_fournisseur.php, (50) product/stats/contrat.php, (51) product/stats/facture.php, (52) product/stats/facture_fournisseur.php, (53) product/stats/propal.php, o (54) product/stock/replenishorders.php. Dolibarr ERP and CRM version 3.5.3 suffers from multiple remote SQL injection vulnerabilities. • http://packetstormsecurity.com/files/129175/Dolibarr-ERP-And-CRM-3.5.3-SQL-Injection.html http://seclists.org/fulldisclosure/2014/Nov/56 http://www.securityfocus.com/archive/1/534020/100/0/threaded http://www.securityfocus.com/bid/71189 https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-7137 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2014-3991 – Dolibarr ERP/CRM 3.5.3 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2014-3991
Multiple cross-site scripting (XSS) vulnerabilities in Dolibarr ERP/CRM 3.5.3 allow remote attackers to inject arbitrary web script or HTML via the (1) dol_use_jmobile, (2) dol_optimize_smallscreen, (3) dol_no_mouse_hover, (4) dol_hide_topmenu, (5) dol_hide_leftmenu, (6) mainmenu, or (7) leftmenu parameter to index.php; the (8) dol_use_jmobile, (9) dol_optimize_smallscreen, (10) dol_no_mouse_hover, (11) dol_hide_topmenu, or (12) dol_hide_leftmenu parameter to user/index.php; the (13) dol_use_jmobile, (14) dol_optimize_smallscreen, (15) dol_no_mouse_hover, (16) dol_hide_topmenu, or (17) dol_hide_leftmenu parameter to user/logout.php; the (18) email, (19) firstname, (20) job, (21) lastname, or (22) login parameter in an update action in a "User Card" to user/fiche.php; or the (23) modulepart or (24) file parameter to viewimage.php. Múltiples vulnerabilidades de XSS en Dolibarr ERP/CRM 3.5.3 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro (1) dol_use_jmobile, (2) dol_optimize_smallscreen, (3) dol_no_mouse_hover, (4) dol_hide_topmenu, (5) dol_hide_leftmenu, (6) mainmenu o (7) leftmenu en index.php; parámetro (8) dol_use_jmobile, (9) dol_optimize_smallscreen, (10) dol_no_mouse_hover, (11) dol_hide_topmenu o (12) dol_hide_leftmenu en user/index.php; parámetro (13) dol_use_jmobile, (14) dol_optimize_smallscreen, (15) dol_no_mouse_hover, (16) dol_hide_topmenu o (17) dol_hide_leftmenu en user/logout.php; parámetro (18) email, (19) firstname, (20) job, (21) lastname o (22) login en una acción de actualización en una 'Trajeta de Usuario' en user/fiche.php; o parámetro (23) modulepart o (24) file en viewimage.php. • https://www.exploit-db.com/exploits/34007 http://packetstormsecurity.com/files/127389/Dolibarr-CMS-3.5.3-SQL-Injection-Cross-Site-Scripting.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 2CVE-2014-3992 – Dolibarr ERP/CRM 3.5.3 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2014-3992
Multiple SQL injection vulnerabilities in Dolibarr ERP/CRM 3.5.3 allow remote authenticated users to execute arbitrary SQL commands via the (1) entity parameter in an update action to user/fiche.php or (2) sortorder parameter to user/group/index.php. Múltiples vulnerabilidades de inyección SQL en Dolibarr ERP/CRM 3.5.3 permiten a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través del (1) parámetro entity en una acción de actualización en user/fiche.php o (2) parámetro sortorder en user/group/index.php. Dolibarr CMS version 3.5.3 suffers from cross site scripting and remote SQL injection vulnerabilities. • https://www.exploit-db.com/exploits/34007 http://packetstormsecurity.com/files/127389/Dolibarr-CMS-3.5.3-SQL-Injection-Cross-Site-Scripting.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 13EXPL: 3CVE-2012-1225 – Dolibarr ERP/CRM 3.x - '/adherents/fiche.php' SQL Injection
https://notcve.org/view.php?id=CVE-2012-1225
Multiple SQL injection vulnerabilities in Dolibarr CMS 3.2.0 Alpha and earlier allow remote authenticated users to execute arbitrary SQL commands via the (1) memberslist parameter (aka Member List) in list.php or (2) rowid parameter to adherents/fiche.php. Múltiples vulnerabilidades de inyección SQL en Dolibarr CMS v3.2.0 Alpha y anteriores permite a usuarios autenticados de forma remota ejecutar comandos SQL a través de (1) el parámetro memberslist (también conocido como Member List) en list.php o (2) el parámetro rowid en adherents/fiche.php. • https://www.exploit-db.com/exploits/36683 http://archives.neohapsis.com/archives/bugtraq/2012-02/0056.html http://osvdb.org/79011 http://secunia.com/advisories/47969 http://www.securityfocus.com/bid/51956 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •