JVNDB-2014-005596
|
Dolibarr ERP/CRM における SQL インジェクションの脆弱性
|
|
Dolibarr ERP/CRM には、SQL インジェクションの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 6.5 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Dolibarr ERP & CRM
- Dolibarr ERP-CRM 3.6.1 未満
|
|
|
リモート認証されたユーザにより、以下のパラメータを介して、任意の SQL コマンドを実行される可能性があります。
(1) projet/tasks/contact.php の addcontact アクションの contactid パラメータ
(2) projet/tasks/contact.php の swapstatut アクションの ligne パラメータ
(3) projet/tasks/contact.php の project_ref パラメータ
(4) projet/contact.php の deletecontact アクションの lineid パラメータ
(5) projet/contact.php の swapstatut アクションの ligne パラメータ
(6) projet/contact.php の ref パラメータ
(7) compta/bank/fiche.php の id パラメータ
(8) contact/info.php の id パラメータ
(9) holiday/index.php の id パラメータ
(10) product/stock/fiche.php の id パラメータ
(11) product/stock/info.php の id パラメータ
(12) product/stock/fiche.php の edit アクションの id パラメータ
(13) product/stock/massstockmove.php の addline アクションの productid パラメータ
(14) projet/tasks/note.php の project_ref パラメータ
(15) projet/ の element.php の ref パラメータ
(16) projet/ の ganttview.php の ref パラメータ
(17) projet/ の note.php の ref パラメータ
(18) projet/ の tasks.php の ref パラメータ
(19) comm/mailing/liste.php の sall パラメータ
(20) comm/mailing/liste.php の sref パラメータ
(21) compta/prelevement/liste.php の search_bon パラメータ
(22) compta/prelevement/liste.php の search_ligne パラメータ
(23) compta/prelevement/liste.php の search_societ e パラメータ
(24) compta/prelevement/liste.php の search_code パラメータ
(25) compta/sociales/index.php の search_label パラメータ
(26) projet/tasks/index.php の search_project パラメータ
(27) compta/prelevement/demandes.php の search_societe パラメータ
(28) user/index.php の search_statut パラメータ
(29) compta/recap-compta.php の socid パラメータ
(30) societe/commerciaux.php の socid パラメータ
(31) societe/rib.php の socid パラメータ
(32) product/stock/liste.php の sortorder パラメータ
(33) product/stock/liste.php の sref パラメータ
(34) product/stock/liste.php の sall パラメータ
(35) product/stock/liste.php の sortfield パラメータ
(36) adherents/liste.php の statut パラメータ
(37) compta/dons/liste.php の statut パラメータ
(38) product/liste.php の tobuy パラメータ
(39) product/liste.php の tosell パラメータ
(40) product/reassort.php の tobuy パラメータ
(41) product/reassort.php の tosell パラメータ
(42) product/reassort.php の search_categ パラメータ
(43) product/reassort.php の sref パラメータ
(44) product/index.php の type パラメータ
以下 (45) ~ (54) の (a) sortorder パラメータまたは (b) sortfield パラメータ
(45) compta/paiement/cheque/liste.php
(46) compta/prelevement/bons.php
(47) compta/prelevement/rejets.php
(48) product/stats/commande.php
(49) product/stats/commande_fournis seur.php
(50) product/stats/contrat.php
(51) product/stats! /facture.php
(52) product/stats/facture_fournisseur.php
(53) product/stats/propal.php
(54) product/stock/replenishorders.php
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
Dolibarr ERP & CRM
|
|
- SQLインジェクション(CWE-89) [NVD評価]
|
|
- CVE-2014-7137
|
|
- National Vulnerability Database (NVD) : CVE-2014-7137
- 関連文書 : Vulnerability title: Multiple SQL Injections in Dolibarr ERP & CRM Dolibarr ERP & CRM
|
|
|
