20 janvier 2019

DIGITEMIS découvre deux vulnérabilités au sein de l’ERP/CRM Dolibarr [CVE-2018-16808 et CVE-2018-16809]

Dolibarr est un ERP/CRM OpenSource gratuit. Lors de leurs activités de R&D, nos auditeurs ont découvert et remonté à l’éditeur deux vulnérabilités inconnues sur les versions 3.8.X à 7.X de Dolibarr. Nous nous proposons de réaliser un retour sur la découverte et l’exploitation de ces deux vulnérabilités. Découverte Dolibarr se présente comme une solution CRM […]

CybersécuritécybersecurityMITREPentestR&DTests d'intrusion
Logo
vulnerabilites dolibarr

Dolibarr est un ERP/CRM OpenSource gratuit. Lors de leurs activités de R&D, nos auditeurs ont découvert et remonté à l’éditeur deux vulnérabilités inconnues sur les versions 3.8.X à 7.X de Dolibarr.

Nous nous proposons de réaliser un retour sur la découverte et l’exploitation de ces deux vulnérabilités.

Découverte

Dolibarr se présente comme une solution CRM et ERP moderne permettant la gestion quotidienne d’une entreprise ou d’une association. Ce logiciel open-source est libre et gratuit et peut être autohébergé, mais il est également proposé en service packagé par certains prestataires de cloud.

Dolibarr est modulaire. Il est en effet possible d’activer de nombreux modules dans l’interface de configuration. Ces modules apportent de nombreuses fonctionnalités supplémentaires. L’un d’eux, qui a particulièrement intéressé nos auditeurs, est le module de notes de frais.

L’application s’appuie sur des listes de mots à bannir des champs utilisateurs pour retirer toute charge malveillante. Il parait donc évident que tout comportement déviant de cette liste passera entre les mailles du filet.

Le module en question permet de créer, éditer et supprimer des notes de frais. On y compte plusieurs champs (descriptions, prix unitaire, prix total, etc.). La création d’une note de frais ne permettait pas à nos auditeurs d’exploiter une vulnérabilité. En revanche, l’édition de cette même note de frais était exposée à deux vulnérabilités distinctes.

Les champs de description étaient sujets à des failles de type Cross-Site Scripting (XSS). Le point noir de ces dernières est le caractère permanent, puisque le contenu malveillant persiste sur l’application. Ainsi, à chaque fois qu’un utilisateur visualisera la note de frais, alors le contenu malveillant présent dans celle-ci sera exécuté.

La seconde vulnérabilité est une injection SQL dans le champ des prix. L’application s’attend à recevoir un nombre, mais ne contrôle pas la valeur qui lui est fournie. Il est donc possible d’injecter du code SQL et d’extraire des informations de la base de données uniquement via la valeur du prix.

Pour préciser le contexte technique, nous sommes dans une requête de mise à jour (UPDATE), dans un ou plusieurs champs de nombres et devons contourner une liste noire.

L’exploitation de l’injection n’est pas triviale puisque nous travaillons sur des entiers, dans une requête UPDATE et devons contourner les listes de mots en place, précédemment évoquées.

Concrètement, on pourrait demander à la base de données de nous afficher la valeur numérique du premier caractère du mot de passe de l’administrateur. Cette valeur serait alors conservée dans le prix de notre note de frais. De cette manière, nous pouvons itérer sur tous les caractères du mot de passe et ainsi l’extraire. Cette explication simpliste traduit le fait que nous pouvons par ce biais extraire toute information présente dans la base de données.

Exploitation

Synthétiquement, la faille XSS a pu être exploitée via un encodage en base64 ce qui nous permettait de contourner la liste en place. L’injection SQL était plus complexe sur les versions antérieures à 7.X puisqu’il était nécessaire de réaliser une injection dans plusieurs champs de nombres pour reconstruire la requête UPDATE à notre guise. En revanche, il était possible de réaliser une injection dans un unique champ lors des versions 7.X.

Les détails de l’exploitation des deux vulnérabilités sont décrits dans un ticket soumis aux développeurs de l’application.
Ce ticket relate à la fois les échanges par mail avec l’équipe de Dolibarr, les détails des vulnérabilités et la timeline des événements.

Conséquences

Dolibarr a corrigé ces vulnérabilités dès la version 7.0.1. Cependant, nos recommandations générales concernant le filtrage systématique des entrées n’ont pas été choisies. L’utilisation d’une liste noire est donc toujours d’actualité dans l’application, cette pratique n’est pas recommandée, puisque la sécurité repose uniquement sur l’exhaustivité de la liste en question.

Ces deux vulnérabilités sont référencées CVE-2018-16808 et CVE-2018-16809 par le MITRE.

Le détail de l’exploitation des deux vulnérabilités sur Github : https://github.com/Dolibarr/dolibarr/issues/9449

Blog

Nos actualités cybersécurité

Cybersécurité

Cybersécurité des ETI : comment passer du réflexe défensif à une stratégie structurée

En 2025, 34 % des ETI ont subi au moins une cyberattaque significative. Le chiffre peut sembler modéré en comparaison des grandes entreprises (50 %), mais il masque une réalité plus brutale : parmi les organisations touchées, 81 % ont constaté un impact direct sur leur activité – perturbation de la production, perte d’image, compromission de données stratégiques ou perte de chiffre d’affaires (sondage OpinionWay pour CESIN, janvier 2026).

10 mars 2026

Cybersécurité

Sécuriser chaque agent IA : le défi cybersécurité de 2026

L’IA générative s’impose désormais dans les usages professionnels les plus courants. Entre les résumés d’e-mails, l’automatisation de tâches complexes et l’assistance à la décision stratégique, chaque agent IA cybersécurité devient un collaborateur numérique à part entière. Cependant, à mesure que ces outils se diffusent à une vitesse inédite dans nos infrastructures, nous constatons que les entreprises peinent à garder une vision claire de ce qui est réellement déployé dans leurs systèmes. Le risque n’est plus seulement théorique : il est actif, souvent invisible, et logé au cœur même de nos processus métier automatisés.

13 février 2026

Privacy

Sanctions RGPD : ce que révèle le milliard d’euros d’amendes de 2025

330 amendes. 1,15 milliard d’euros. C’est le bilan RGPD de l’année 2025, selon les données consolidées par Surfshark. Derrière ce chiffre spectaculaire se cache une réalité plus complexe : pour certains acteurs, ces sanctions restent un simple coût d’exploitation. Pour d’autres, elles menacent l’existence même de l’entreprise.

5 février 2026
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

    *Informations obligatoires

    Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

    Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.

    Index