Categoria: Inteligência de vulnerabilidade

Classe de vulnerabilidade: Validação de entrada incorreta

ID DA CAVERNA: CVE-2023-4197

Pontuação CVSS: 7.5

Nome do produto Dolibarr ERP CRM = v18.0.1

Sumário executivo

CVE-2023-4197 é uma vulnerabilidade de injeção de código PHP no Dolibarr ERP CRM = v18.0.1. Essa vulnerabilidade permite que um invasor injete e avalie código PHP arbitrário em uma instância do Dolibarr ERP CRM. Isso pode permitir que um invasor assuma o controle total do sistema afetado, inclusive roubando dados, instalando malware ou lançando ataques de negação de serviço.

‍

Descrição:

Ao criar um site no Dolibarr ERP CRM = v18.0.1, o aplicativo não consegue remover determinado código PHP da entrada fornecida pelo usuário. Isso permite que um invasor injete código PHP arbitrário no site, que será executado quando o site for visitado.

Impacto:

Uma exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor:
* Roube dados confidenciais, como registros de clientes, informações financeiras e propriedade intelectual.
* Instale malware no sistema afetado.
* Lance ataques de negação de serviço.
* Assuma o controle total do sistema afetado.

Ações recomendadas:

Se você estiver usando o Dolibarr ERP CRM = v18.0.1, é importante atualizar para a versão mais recente (v18.0.2) imediatamente. Se você não conseguir fazer o upgrade imediatamente, poderá reduzir o risco de exploração da seguinte forma:
* Implementação de um firewall de aplicativo web (WAF) que pode bloquear solicitações maliciosas.
* Desativar a capacidade dos usuários de criar sites até que a vulnerabilidade seja corrigida.
* Educar os usuários sobre os perigos de clicar em links em e-mails e mensagens de remetentes desconhecidos.

Etapas para aplicar a correção manualmente

Para aplicar a correção manualmente, você pode baixar o patch mais recente do site da Dolibarr e aplicá-lo à sua instalação.

Conclusão:

O CVE-2023-4197 é uma vulnerabilidade séria que pode permitir que os invasores assumam o controle total dos sistemas Dolibarr ERP CRM afetados. É importante atualizar para a versão mais recente (v18.0.2) imediatamente ou aplicar as etapas alternativas fornecidas acima.
O CVE-2023-4197 é uma vulnerabilidade séria que pode ter um impacto significativo em agências governamentais e contratantes. É importante tomar medidas para mitigar o risco de exploração o mais rápido possível.
‍

O POC está disponível?

No momento da redação deste comunicado de segurança para o CVE-2023-4197, uma prova pública de conceito (POC) tinha não foi lançado. Os pesquisadores de segurança da Cloudsek estão monitorando continuamente quaisquer novas atualizações lançadas no CVE-2023-4197. Quaisquer atualizações adicionais serão fornecidas no mesmo comunicado para referências futuras.

CVE-2023-4197 é um ataque explorável remotamente, os atacantes poderiam tirar proveito disso e explorar alvos vulneráveis usando shodan e google dorks. Recomenda-se que os usuários afetados tomem as ações recomendadas mencionadas no comunicado de segurança acima.

‍

Referências

* https://github.com/Dolibarr/dolibarr/commit/0ed6a63fb06be88be5a4f8bcdee83185eee4087e
* https://starlabs.sg/advisories/23/23-4197

‍

‍