发布日期：2020-05-20
更新日期：2020-09-03

受影响系统：

Dolibarr ERP/CRM 11.0.4

描述：

---

CVE(CAN) ID: CVE-2020-13239

Dolibarr ERP/CRM是法国Dolibarr基金会的一套基于Web的企业资源计划（ERP）和客户关系管理（CRM）系统。DMS/ECM模块是Dolibarr CRM中内置的一个简单的文件上传系统。
Dolibarr ERP/CRM 11.0.4版本中的DMS/ECM模块存在跨站脚本执行漏洞。该漏洞源于直接下载链接中附件参数被删除时，DMS/ECM模块会在浏览器中呈现用户上传的.html文件。攻击者可利用该漏洞执行跨站脚本。

<**>

建议：

---

厂商补丁：

Dolibarr
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.dolibarr.org/

浏览次数：648
严重程度：0（网友投票）