JVNDB-2011-003349

Dolibarr における SQL インジェクションの脆弱性

Dolibarr には、SQL インジェクションの脆弱性が存在します。

Dolibarr ERP & CRM

• Dolibarr ERP-CRM 3.1.0 RC およびそれ以前

リモート認証されたユーザにより、(1) user/index.php、および (2) user/group/index.php の (a) sortfield 、(b) sortorder、および（c）sall パラメータ、user/ の (4) info.php 、(5) perms.php、(6) param_ihm.php、(7) note.php、および（8）fiche.php の id パラメータ、および（9）admin/boxes.php の rowid パラメータを介して、任意の SQL コマンドを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Dolibarr ERP & CRM

• GitHub : Fix: Sanitize PHP_SELF
• GitHub : Fix: [Bug #232] Multiple Cross-Site-Scripting vulnerabilities
• GitHub : Security: More security holes fixed
• GitHub : Security: A lot of security fixes

1. SQLインジェクション(CWE-89) [NVD評価]

1. CVE-2011-4802

1. National Vulnerability Database (NVD) : CVE-2011-4802

• [2011年12月16日]
    掲載