Katalog CVE

CVE-2026-58376

WysokieCVSS 7.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

W Dolibarr do wersji 23.0.3 (załatanym w commicie 14db36e) wykryto podatność na iniekcję SQL. Uwierzytelnieni użytkownicy API mogą wyodrębnić dowolne dane z bazy, podając złośliwe wartości w parametrze sqlfilters w endpointach REST API dla słowników i walut wielowalutowych.

Ocena ryzyka

Atakujący może uzyskać dostęp do wrażliwych danych, takich jak hasła użytkowników i klucze API, co prowadzi do naruszenia poufności i potencjalnego przejęcia kont.

Rekomendacja

Natychmiast zaktualizuj Dolibarr do wersji 23.0.4 lub nowszej, która zawiera poprawkę zabezpieczającą przed iniekcją SQL w endpointach API.

Oryginalny opis (angielski, źródło NVD)

Dolibarr through 23.0.3, fixed in commit 14db36e, contains a sql injection vulnerability that allows authenticated API users to exfiltrate arbitrary database contents by supplying malicious values to the sqlfilters query parameter in the setup dictionary and multicurrencies REST API endpoints. The affected endpoints in api_setup.class.php and api_multicurrencies.class.php validate sqlfilters only for balanced parentheses and rewrite matched triplets, allowing text placed outside the expected shape such as an appended UNION SELECT to be concatenated into the SQL WHERE clause unmodified, enabling retrieval of sensitive data including password hashes and API keys.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS