VDB-367494 · Отправить #821930 · CVE-2026-10215

Dolibarr ERP CRM до 23.0.1 Leave Request REST API api_holidays.class.php checkUserAccessToObject эскалация привилегий

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
3.9	$0-$5k	0.00

СводкаИнформация

Уязвимость была найдена в Dolibarr ERP CRM до 23.0.1. Она была объявлена как критический. Неизвестная функция файла htdocs/holiday/class/api_holidays.class.php компонента Leave Request REST API вовлечена. Выполнение манипуляции приводит к эскалация привилегий. Выявление этой уязвимости является CVE-2026-10215. Атаку можно инициировать удаленно. Также существует доступный эксплойт. Рекомендуется провести обновление затронутого компонента.

ПодробностиИнформация

Уязвимость была найдена в Dolibarr ERP CRM до 23.0.1. Она была объявлена как критический. Неизвестная функция файла htdocs/holiday/class/api_holidays.class.php компонента Leave Request REST API вовлечена. Выполнение манипуляции приводит к эскалация привилегий. Указание проблемы через CWE ведет к CWE-285. Данная уязвимость была опубликована с идентификатором 37752. Консультация размещена для скачивания на github.com.

Выявление этой уязвимости является CVE-2026-10215. Атаку можно инициировать удаленно. Техническая информация предоставлена. Данная уязвимость менее популярна, чем в среднем. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Этой уязвимости присвоен номер T1548.002 проектом MITRE ATT&CK.

Задано как Доказательство концепции. Эксплойт доступен для загрузки по адресу github.com. .

Обновление до версии 23.0.2 способно решить эту проблему. Обновленную версию можно скачать по адресу github.com. Патч называется ee93b6f2f9dd0f6aeefe9d718ab3ab0a44326b73. Исправление готово для загрузки по адресу github.com. Рекомендуется провести обновление затронутого компонента.

ПродуктИнформация

Тип

Enterprise Resource Planning Software

Поставщик

Dolibarr

Имя

ERP CRM

Версия

Лицензия

Открытый исходный код

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 3.9

VulDB Базовый балл: 4.3
VulDB Временная оценка: 3.9
VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-285 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔒
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔒
Google Hack: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Прогноз цен: 🔍
Оценка текущей цены: 🔒

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔒

Обновление: ERP CRM 23.0.2
Патч: ee93b6f2f9dd0f6aeefe9d718ab3ab0a44326b73

ХронологияИнформация

31.05.2026 Консультация опубликована
31.05.2026 +0 дни Запись VulDB создана
31.05.2026 +0 дни Последнее обновление VulDB

ИсточникиИнформация

Консультация: 37752
Статус: Подтверждённый
Подтверждение: 🔒

CVE: CVE-2026-10215 (🔒)
GCVE (CVE): GCVE-0-2026-10215
GCVE (VulDB): GCVE-100-367494
scip Labs: https://www.scip.ch/en/?labs.20161013