首頁
» GitHub 公告
» GHSA-7cm4-vmf2-8wf2
描述
Dolibarr ERP & CRM <=15.0.3 are vulnerable to Eval injection. By default, any administrator can be added to the installation page of dolibarr, and if successfully added, malicious code can be inserted into the database and then execute it by eval.
基本資訊
類型
reviewed
嚴重度
critical
GitHub 上的公告
開啟公告 ↗
儲存庫公告
—
原始碼
瀏覽原始碼 ↗
公開(公告)
2022-10-12 19:00:42 UTC
更新時間
2025-05-15 17:57:25 UTC
GitHub 審核
2022-10-12 20:16:03 UTC
NVD 公開
2022-10-12
EPSS Score
Score
Percentile
51.56%
97.76%
CVSS Scores
Base score
Version
Severity
Vector
9.8
3.1
—
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
點擊展開
攻擊向量 (AV:N)
可經網際網路或企業內可路由網段從遠端觸達,攻擊者不必在裝置旁邊。
攻擊複雜度 (AC:L)
前置條件清楚,成功路徑穩定,不必仰賴罕見競態或極端環境。
權限需求 (PR:N)
不必事先登入或提權,匿名工作階段也可能成為跳板。
使用者互動 (UI:N)
不必受害者點連結、放行巨集或安裝軟體,攻擊鏈可自動走完。
作用域 (S:U)
破壞局限在脆弱元件原本的安全權限與信任域之內。
機密性影響 (C:H)
大量讀取、匯出或長期潛伏竊取機敏資料,在實務上成立。
完整性影響 (I:H)
可竄改稽核紀錄、植入後門或大面積偽造業務資料,動搖信任根基。
可用性影響 (A:H)
可造成長時間中斷、關鍵交易無法完成,或伴隨資料毀損導致難以自癒。
CWEs
CWE id
Name
CWE-94
Improper Control of Generation of Code ('Code Injection')
CWE-95
Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')
Affected packages (1)
Vulnerable version ranges and first patched releases as published by GitHub.
Ecosystem
Package
Vulnerable range
First patched
Vulnerable functions
composer
dolibarr/dolibarr
<= 15.0.3
—
—
cvelogic
Threat Intelligence