CRITICAL🇬🇧 English

CVE-2025-69634

CSRF umożliwiający privilege escalation w Dolibarr ERP & CRM v.22.0.9

CVSS 9.0v3.1pub. 2026-02-12upd. 2026-04-15

W Dolibarr ERP & CRM w wersji 22.0.9 odkryto podatność Cross-Site Request Forgery (CSRF) w pliku perms.php, która według zgłoszenia pozwala zdalnemu atakującemu na eskalację uprawnień. Podatność jest jednak kwestionowana przez stronę trzecią, która wskazuje, że skuteczna eksploitacja wymaga znajomości tokenu użytkownika administracyjnego przez nieuprzywilejowanego atakującego.

Pokaż oryginał (EN)

Cross Site Request Forgery vulnerability in Dolibarr ERP & CRM v.22.0.9 allows a remote attacker to escalate privileges via the notes field in perms.php NOTE: this is disputed by a third party who indicates that exploitation can only occur if an unprivileged user knows the token of an admin user.

🤖 Analiza AI
Jak działa

Podatność dotyczy pola notes w pliku perms.php i polega na braku właściwej weryfikacji żądań inicjowanych przez użytkownika (CSRF, CWE-352). Atakujący mógłby nakłonić zalogowanego administratora do wykonania spreparowanego żądania, co potencjalnie umożliwiłoby modyfikację uprawnień. Zgodnie z zastrzeżeniem strony trzeciej, atak jest możliwy jedynie wtedy, gdy nieuprzywilejowany użytkownik posiada już token sesji administratora, co istotnie zawęża realny scenariusz zagrożenia. Klasyfikacja obejmuje również CWE-284 (nieprawidłowa kontrola dostępu) oraz CWE-598 (ujawnienie danych przez parametry GET).

Skutki

W przypadku udanej eksploitacji atakujący mógłby dokonać eskalacji uprawnień (privilege escalation) w systemie Dolibarr, potencjalnie uzyskując pełną kontrolę nad aplikacją ERP/CRM. Skuteczność ataku jest kwestionowana i uzależniona od wcześniejszego pozyskania tokenu sesji administracyjnej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również wdrożenie dodatkowych mechanizmów ochrony przed CSRF (np. tokeny anty-CSRF), ograniczenie dostępu do panelu administracyjnego oraz regularne audytowanie uprawnień użytkowników.

Kogo dotyczy

Dolibarr ERP & CRM w wersji 22.0.9

Uwagi

Podatność jest oficjalnie kwestionowana (oznaczenie NOTE: disputed) — strona trzecia wskazuje, że eksploitacja jest możliwa wyłącznie w przypadku, gdy nieuprzywilejowany użytkownik posiada token sesji administratora. Należy zachować ostrożność przy ocenie realnego poziomu ryzyka. Pomimo oceny CVSS 9.0 (CRITICAL), kontekst sporu obniża prawdopodobieństwo praktycznej eksploitacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje