CVE-2024-23817
Dolibarr Application Home Page HTML injection vulnerability
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
1Exploited in Wild
-Decision
Descriptions
Dolibarr is an enterprise resource planning (ERP) and customer relationship management (CRM) software package. Version 18.0.4 has a HTML Injection vulnerability in the Home page of the Dolibarr Application. This vulnerability allows an attacker to inject arbitrary HTML tags and manipulate the rendered content in the application's response. Specifically, I was able to successfully inject a new HTML tag into the returned document and, as a result, was able to comment out some part of the Dolibarr App Home page HTML code. This behavior can be exploited to perform various attacks like Cross-Site Scripting (XSS). To remediate the issue, validate and sanitize all user-supplied input, especially within HTML attributes, to prevent HTML injection attacks; and implement proper output encoding when rendering user-provided data to ensure it is treated as plain text rather than executable HTML.
Dolibarr es un paquete de software de planificación de recursos empresariales (ERP) y gestión de relaciones con los clientes (CRM). La versión 18.0.4 tiene una vulnerabilidad de inyección HTML en la página Home de la aplicación Dolibarr. Esta vulnerabilidad permite a un atacante inyectar etiquetas HTML arbitrarias y manipular el contenido representado en la respuesta de la aplicación. Específicamente, pude inyectar con éxito una nueva etiqueta HTML en el documento devuelto y, como resultado, pude comentar alguna parte del código HTML de la página de inicio de la aplicación Dolibarr. Este comportamiento se puede aprovechar para realizar varios ataques como Cross-Site Scripting (XSS). Para solucionar el problema, valide y sanitice todas las entradas proporcionadas por el usuario, especialmente dentro de los atributos HTML, para evitar ataques de inyección de HTML; e implementar una codificación de salida adecuada al representar datos proporcionados por el usuario para garantizar que se traten como texto sin formato en lugar de HTML ejecutable.
CVSS Scores
SSVC
- Decision:-
Timeline
- 2024-01-22 CVE Reserved
- 2024-01-25 CVE Published
- 2024-02-01 EPSS Updated
- 2024-08-01 CVE Updated
- 2024-08-01 First Exploit
- ---------- Exploited in Wild
- ---------- KEV Due Date
CWE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
- CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)
CAPEC
References (1)
URL | Tag | Source |
---|
URL | Date | SRC |
---|---|---|
https://github.com/Dolibarr/dolibarr/security/advisories/GHSA-7947-48q7-cp5m | 2024-08-01 |
URL | Date | SRC |
---|
URL | Date | SRC |
---|
Affected Vendors, Products, and Versions
Vendor | Product | Version | Other | Status | ||||||
---|---|---|---|---|---|---|---|---|---|---|
Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
Dolibarr Search vendor "Dolibarr" | Dolibarr Erp\/crm Search vendor "Dolibarr" for product "Dolibarr Erp\/crm" | 18.0.4 Search vendor "Dolibarr" for product "Dolibarr Erp\/crm" and version "18.0.4" | - |
Affected
|