CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2020-13094 – Dolibarr 11.0.3 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2020-13094
Dolibarr before 11.0.4 allows XSS. Dolibarr versiones anteriores a 11.0.4, permite un ataque de tipo XSS. Dolibarr version 11.0.3 suffers from a cross site scripting vulnerability. • https://github.com/mkelepce/CVE-2020-13094 http://packetstormsecurity.com/files/157752/Dolibarr-11.0.3-Cross-Site-Scripting.html https://github.com/Dolibarr/dolibarr/blob/11.0.4/ChangeLog https://www.dolibarr.org/dolibarr-erp-crm-11-0-4-maintenance-release-for-branch-11-0-is-available.php • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-12669
https://notcve.org/view.php?id=CVE-2020-12669
core/get_menudiv.php in Dolibarr before 11.0.4 allows remote authenticated attackers to bypass intended access restrictions via a non-alphanumeric menu parameter. El archivo core/get_menudiv.php en Dolibarr versiones anteriores a 1.0.4, permite a atacantes autenticados remotos omitir restricciones de acceso previstas por medio de un parámetro de menú no alfanumérico. • https://github.com/Dolibarr/dolibarr/commit/c1b530f58f6f01081ddbeaa2092ef308c3ec2727 https://sourceforge.net/projects/dolibarr/files/Dolibarr%20ERP-CRM/11.0.4 • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-11825
https://notcve.org/view.php?id=CVE-2020-11825
In Dolibarr 10.0.6, forms are protected with a CSRF token against CSRF attacks. The problem is any CSRF token in any user's session can be used in another user's session. CSRF tokens should not be valid in this situation. En Dolibarr versión 10.0.6, los formularios están protegidos con un token CSRF contra ataques de tipo CSRF. El problema es que cualquier token CSRF en la sesión de cualquier usuario puede ser usado en la sesión de otro usuario. • https://fatihhcelik.blogspot.com/2020/04/dolibarr-csrf.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-11823
https://notcve.org/view.php?id=CVE-2020-11823
In Dolibarr 10.0.6, if USER_LOGIN_FAILED is active, there is a stored XSS vulnerability on the admin tools --> audit page. This may lead to stealing of the admin account. En Dolibarr versión 10.0.6, si USER_LOGIN_FAILED está activo, hay una vulnerabilidad de tipo XSS almacenado en las herramientas de administración --) audit page. Esto puede conllevar al robo de la cuenta de administrador. • https://fatihhcelik.blogspot.com/2020/04/dolibarr-stored-xss.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-19212
https://notcve.org/view.php?id=CVE-2019-19212
Dolibarr ERP/CRM 3.0 through 10.0.3 allows XSS via the qty parameter to product/fournisseurs.php (product price screen). Dolibarr ERP/CRM versiones 3.0 hasta 10.0.3, permite un ataque de tipo XSS por medio del parámetro qty en el archivo product/fournisseurs.php (pantalla product price). • https://herolab.usd.de/en/security-advisories https://herolab.usd.de/security-advisories/usd-2019-0054 https://www.dolibarr.org/forum/dolibarr-changelogs • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •