Security Advisory: Dolibarr 17.0.0 PHP Code Injection (CVE-2023-30253)

L’Offensive Security Team di Swascan ha scoperto una vulnerabilità in Dolibarr 17.0.0, che è stata identificata come CVE-2023-30253.

La vulnerabilità è stata è stata risolta in Dolibarr 17.0.1.

Descrizione Prodotto

Dolibarr ERP/CRM è un software modulare Open source che si adatta alle piccole e medie imprese (PMI), fondazioni e liberi professionisti.

Sintesi Tecnica

L’Offensive Security Team di Swascan ha rilevato un’importante vulnerabilità su: 17.0.0

VulnerabilityTested VesionsCVSSv3.1            CWE-ID
Authenticated PHP Code Injection17.0.08.8 High [AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H]CWE-77

Nella sezione che segue vengono illustrati i dettagli tecnici di questa vulnerabilità, tra cui le evidenze e un proof-of-concept.

Descrizione

In Dolibarr 17.0.0 con il plugin CMS Website (core) abilitato, un attaccante autenticato può ottenere l’esecuzione di comandi remoti tramite code injection, aggirando le restrizioni imposte dell’applicazione.

Proof of Concept

La seguente POC mostra come eseguire i comandi di sistema utilizzando un utente con le autorizzazioni visibili nell’evidenza.

Figura 1 – Autorizzazioni dell’utente di prova

Di default l’utente del test non può modificare il sito web con il codice php.

Figura 2 – prova dell’errore con codice php

Come mostra la Figura 1, il codice PHP è contrassegnato come disabilitato; tuttavia, è comunque possibile iniettare codice PHP come utente Test digitando “<?PHP code…?>” invece di “<?php code..?>”.

Il controllo sul tag “<?php” può essere bypassato usando qualsiasi carattere in maiuscolo (Php, pHp, pHP, PHP).

Figura 3 – controllo del bypass

Figura 4 – Codice php iniettato

Il codice php è stato iniettato e la pagina mostra il risultato “4”.

Inoltre, il tag PHP (maiuscolo) bypassa anche il controllo delle funzioni php proibite in core/lib/website2.lib.php.

Figura 5 – file /usr/share/dolibarr/htdocs/core/lib/website2.lib.php

Figure 6 – php code for RCE

<?PHP echo system(“whoami”).”<br><br>”.system(“pwd”).”<br><br>”.sys-tem(“ip a”);?>

Figura 7 – Esecuzione del comando remoto

In conclusione, con un utente non privilegiato e che ha accesso al plugin per i siti web, è possibile eseguire comandi sulla macchina remota.

Impatto

Un attaccante autenticato potrebbe ottenere l’accesso al sistema remoto ed eseguire comandi arbitrari.

Remediation

Scaricare l’ultima versione di Dolibarr da https://www.dolibarr.org/

Riferimenti

Disclosure Timeline

• 10-03-2023: Vulnerabilità scoperte

• 15-03-2023: Swascan contatta il Vendor tramite mail

• 22-03-2023: Swascan contatta il Vendor tramite mail (2°tentativo)

• 27-03-2023: Il Vendor conferma che le vulnerabilità sono state risolte

• 16-05-2023: Il Vendor rilascia la versione Dolibarr v17.0.1

• 06-06-2023: Pubblicazione Security Advisory

Russian Market: il mercato nero dei Criminal Hacker che guarda all'Italia
Security Advisory: Team System - Alyante Enterprise SP6 (build 5660); SQL Injection (CVE-2023-36341) + Open Redirection (CVE-2023-36342)

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.