Dolibarr ERP CRM até 23.0.2 Shipments API Endpoint expedition.class.php _checkValForAPI fields Injeção SQL
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em Dolibarr ERP CRM até 23.0.2. Foi declarada como crítico. O elemento afetado é a função _checkValForAPI no arquivo htdocs/expedition/class/expedition.class.php no componente Shipments API Endpoint. A utilização do parâmetro fields pode causar Injeção SQL.
Esta vulnerabilidade é identificada como CVE-2026-7688. Existe a possibilidade de executar o ataque de forma remota. Além disso, um exploit está disponível.
Detalhes
Uma vulnerabilidade foi encontrada em Dolibarr ERP CRM até 23.0.2. Foi declarada como crítico. O elemento afetado é a função _checkValForAPI no arquivo htdocs/expedition/class/expedition.class.php no componente Shipments API Endpoint. A utilização do parâmetro fields pode causar Injeção SQL. Ao utilizar CWE para declarar o problema, isso direciona para CWE-89. A falha foi publicada por Chris Oakley.
Esta vulnerabilidade é identificada como CVE-2026-7688. Existe a possibilidade de executar o ataque de forma remota. Há detalhes técnicos disponíveis. O grau de complexidade do ataque é alto. A exploração é conhecida por ser difícil. Esta vulnerabilidade apresenta popularidade inferior à média. Além disso, um exploit está disponível. O exploit foi exposto ao público e pode ser aproveitado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projecto MITRE ATT&CK utiliza a técnica de ataque T1505 para esta edição.
Foi declarado como prova de conceito.
Produto
Tipo
Fabricante
Nome
Versão
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔒VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.0VulDB Meta Pontuação Temporária: 4.6
VulDB Pontuação Base: 5.0
VulDB Pontuação Temporária: 4.6
VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔒
VulDB Pontuação Temporária: 🔒
VulDB Fiabilidade: 🔍
Exploração
Classe: Injeção SQLCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔒
Acesso: Público
Estado: Prova de conceito
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Tendência de preços: 🔍
Estimativa de preço atual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: nenhuma medida conhecidaEstado: 🔍
Tempo 0-dia: 🔒
Linha do tempo
02/05/2026 Aviso publicado02/05/2026 Entrada VulDB criada
04/05/2026 Última atualização da VulDB
Fontes
Pessoa: Chris OakleyEstado: Não definido
CVE: CVE-2026-7688 (🔒)
GCVE (CVE): GCVE-0-2026-7688
GCVE (VulDB): GCVE-100-360858
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrada
Criado: 02/05/2026 18h32Atualizado: 04/05/2026 06h06
Ajustamentos: 02/05/2026 18h32 (57), 02/05/2026 21h49 (1), 04/05/2026 06h06 (1)
Completo: 🔍
Submissor: chris00
Editor: chris00
Cache ID: 216::103
Submeter
Aceite
- Submeter #799337: Dolibarr Dolibarr ERP CRM 23.0.2 and earlier SQL Injection (de chris00)
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.