Dolibarr ERP and CRM contain XSS Vulnerability

2022-05-1403:50:13

Google

osv.dev

6.8 Medium

AI Score

Confidence

High

0.001 Low

EPSS

Percentile

34.2%

JSON

The test_sql_and_script_inject function in htdocs/main.inc.php in Dolibarr ERP/CRM 6.0.4 blocks some event attributes but neither onclick nor onscroll, which allows XSS.

CPENameOperatorVersion
dolibarr/dolibarreq4.0.1
dolibarr/dolibarreq3.6.6
dolibarr/dolibarreq3.8.1
dolibarr/dolibarreq6.0.4
dolibarr/dolibarreq3.9.0
dolibarr/dolibarreq4.0.3
dolibarr/dolibarreq3.6.5
dolibarr/dolibarreq4.0.0-rc2
dolibarr/dolibarreq5.0.0-rc2
dolibarr/dolibarreq3.6.4

Name	Operator	Version
dolibarr/dolibarr	eq	4.0.1
dolibarr/dolibarr	eq	3.6.6
dolibarr/dolibarr	eq	3.8.1
dolibarr/dolibarr	eq	6.0.4
dolibarr/dolibarr	eq	3.9.0
dolibarr/dolibarr	eq	4.0.3
dolibarr/dolibarr	eq	3.6.5
dolibarr/dolibarr	eq	4.0.0-rc2
dolibarr/dolibarr	eq	5.0.0-rc2
dolibarr/dolibarr	eq	3.6.4