TLP:CLEAR PAP:WHITE
Aviso de seguridad de Debian - odoo
Descripción
Se descubrieron varias vulnerabilidades en odoo, un conjunto de aplicaciones comerciales de código abierto basadas en la web.
- XSS que permite al atacante remoto inyectar comandos arbitrarios. CVE-2021-44775 , CVE-2021-26947 , CVE-2021-45071 , CVE-2021-26263.
- Control de acceso incorrecto que permite al usuario remoto autenticado crear cuentas de usuario y acceder a datos restringidos. CVE-2021-45111.
- Control de acceso incorrecto que permite al administrador remoto autenticado acceder a archivos locales en el servidor. CVE-2021-44476 , CVE-2021-23166.
- Control de acceso incorrecto que permite al administrador remoto autenticado modificar el contenido de la base de datos de otros inquilinos. CVE-2021-23186.
- Control de acceso incorrecto que permite a un usuario remoto autenticado utilizar el método de pago de otro usuario. CVE-2021-23178.
- Control de acceso incorrecto que permite al usuario remoto autenticado acceder a la información contable. CVE-2021-23176.
- Control de acceso incorrecto que permite a usuarios remotos autenticados acceder a documentos arbitrarios a través de exportaciones de PDF. CVE-2021-23203.
Productos afectados
odoo
Riesgo
Alto
Soluciones
Para la distribución estable (bullseye), estos problemas se han solucionado en la versión 14.0.0+dfsg.2-7+deb11u1.
Debian recomienda actualizar paquetes de odoo.
Debian recomienda actualizar paquetes de odoo.
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es