Bonjour,
ça semble assez sérieux pour que je fasse suivre l’info sans avoir encore trop eu le temps de tester / valider / qualifier tout ça …
En résumé une faille sur la page d’accueil de dolibarr 18.0.4 permettrait d’injecter du code HTML et à partir de la de faire du XSS … et donc de faire des choses pas super sympa …
Oops…
Bonsoir,
Détail en vidéo :
Cela ne permettrait que de faire du XSS HTML, pas javascript. Car c’est un injection HTML et non JS.
Injection HTML et Injection JS sont 2 catégories de failles différentes. Ici la faille permet de changer la forme html de la page (en cassant les balises HTML).
Hmmmm est-ce certain qu’elle ne permette pas de faire une injection js via du html injecté qui aurait un look du genre <script src> par exemple ?
On est sûr de rien. Mais pour le cas que tu évoques, ta balise script sera bloquée par le WAF interne de Dolibarr. Lorsqu’une injection est de type XSS JS, elle est déclarée comme injection JS et non comme injection HTML (c’est une catégorie différente). Le CVS score est d’ailleurs en général > 9 dans le cas d’injection JS.
Bonjour 
J’ai beaucoup de mal a saisir cette injection.
Les input ne sont-ils pas protégés par GETPOST() ?
Bonjour,
Correction postée par Regis Houssin.
Disponible à partir de la 14.0.x
Bonjour,
Bravo à toutes les personnes qui travaillent sur le projet et Régis qui a corrigé ce CVE.
Pour ma part, je vous recommande de mettre en place un WAF html qui évite tout type d’injection de code.
Cela permet de garder une certaine sérénité. Ceci n’empêche pas de surveiller vos installations bien entendu !
Bon dimanche à tous.
Hum sans ne rien enlever au boulot de Régis c’est important de souligner qu’à la base c’est @eldy qui a fait le correctif pour la 18 
merci à tous les deux pour le taff !
Pour ceux qui veulent une vision temps réels des issues de sécurité, j’ai complété l’outil apstats pour ajouter une section « Alertes sécurité »:
https://cti.dolibarr.org/
Avis aux développeurs pour améliorer l’outil afin d’ajouter une option pour retourner la section en flux rss au lieu d’une page html…
Rien à voir avec les variables globales, il s’agit d’une faille qui pourrait permettre de se connecter à la place d’une personne en récupérant l’identifiant de sa session par exemple. https://www.youtube.com/watch?v=tyHxAsGKkvg&t=291s
Bonjour,
pour le mainteneur de base d’une version 17.0.0, qu’y a-t-il à faire : appliquer soi-même le patch ou bien attendre une nouvelle version (la 17.0.4 ?) ?
Merci.
La video que tu évoques une faille xss de type injection html étendable en injection js. Hors ici on est sur une injection html, non étendable en js. Donc sans capacité de voler la session.
Si pas déja intégré dans une version x mais que dispo en x+1, l’idéal est une PR de backport de ce qui a été fait en version x+1 sur la branche x. Pour ce cas la, cela semble déja avoir été fait en branche v17. Donc une recup par git pull de la branche v17 doit suffir.
Merci mais n’est-il pas plus simple et préférable d’installer la version 17.0.4 dont la sortie a été annoncée hier ?
Bonjour,
Peut-on me dire si la version 19 qui vient juste de sortir intègre la correction de ce CVE ?
Bonne fin de semaine.
Bonjour,
Oui
Bonne journée
Merci de ce retour.
Il serait peut-être utile de le signaler dans le log de la V19 ?
Je ne sais pas si cela est possible.
PS : je ne l’ai pas trouvé.
