← volver
CVE-2026-58376

Dolibarr - SQL Injection via sqlfilters Parameter in Multiple REST API List Endpoints

CVSS 7.2 HIGHEPSS 0.2%CWE-89
Vexday Risk Score
41Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
CVSS 7.2EPSS 0.2%KEV nãoPoC públicaNuclei Metasploit Patch referenciado
Ciclo de vida
30 jun 2026Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
Dolibarr through 23.0.3, fixed in commit 14db36e, contains a sql injection vulnerability that allows authenticated API users to exfiltrate arbitrary database contents by supplying malicious values to the sqlfilters query parameter in the setup dictionary and multicurrencies REST API endpoints. The affected endpoints in api_setup.class.php and api_multicurrencies.class.php validate sqlfilters only for balanced parentheses and rewrite matched triplets, allowing text placed outside the expected shape such as an appended UNION SELECT to be concatenated into the SQL WHERE clause unmodified, enabling retrieval of sensitive data including password hashes and API keys.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N
Productos afectados
Dolibarr · dolibarr
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →