Dolibarr远程代码执行漏洞
Dolibarr ERP/CRM是一款针对中小型企业、组织或自由职业者的开源软件/自由软件。它包括不同的功能,例如企业资源计划 (ERP)和客户关系管理 (CRM),以及应用于其它不同活动的功能。
一、漏洞分析
公开日期:2020-12-24
漏洞编号:CNVD-2020-73750/CVE-2020-35136
危害等级:高危
漏洞描述:Dolibarr 12.0.3存在远程代码执行漏洞。攻击者可利用该漏洞通过将payload插入admin/tools/dolibarr_export.php的zipfilename_template参数的文件名中来操纵备份功能,从而可利用该漏洞实现远程代码执行。
二、漏洞影响范围
Dolibarr ERP/CRM Dolibarr 12.0.3
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/Dolibarr/dolibarr/releases
