Debian DSA-5399-1：odoo - 安全性更新

high Nessus Plugin ID 175152

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機上安裝的套件受到 dsa-5399 公告中提及的多個弱點影響。

- Odoo Community 15.0 和更舊版本以及 Odoo Enterprise 15.0 和更舊版本中存在沙箱問題，經驗證的管理員可以藉此在伺服器上讀取和寫入本機檔案。(CVE-2021-23166)

- 在 Odoo Community 15.0 和更舊版本以及 Odoo Enterprise 15.0 和更舊版本中，l10n_fr_fec 模組的報告引擎中存在存取控制不當問題，遠端經過驗證的使用者可以藉此透過特製的 RPC 封包擷取帳戶資訊。(CVE-2021-23176)

- Odoo Community 15.0 及更舊版本以及 Odoo Enterprise 15.0 及更舊版本中存在存取控制不當問題，此問題允許攻擊者使用屬於其他使用者的權杖化支付方式驗證線上支付，進而導致系統向受害者的支付方式收費。(CVE-2021-23178)

- Odoo Community 15.0 和更舊版本以及 Odoo Enterprise 15.0 和更舊版本中存在沙箱問題，經驗證的管理員可以藉此在多租戶系統中存取和修改其他租戶的資料庫內容。(CVE-2021-23186)

- Odoo Community 14.0 至 15.0 版和 Odoo Enterprise 14.0 至 15.0 版的報告引擎中存在不當存取控制，遠端攻擊者可藉此透過特製的要求下載任意文件的 PDF 報告。(CVE-2021-23203)

- Odoo Community 14.0 至 15.0 版和 Odoo Enterprise 14.0 至 15.0 版的 Discuss 應用程式中存在跨網站指令碼 (XSS) 問題，遠端攻擊者可藉此透過張貼特製的內容，在受害者的瀏覽器中插入任意 Web 指令碼。(CVE-2021-26263)

- Odoo Community 15.0 和更舊版本以及 Odoo Enterprise 15.0 和更舊版本中存在跨網站指令碼 (XSS) 問題，遠端攻擊者可藉此透過特製的連結，在受害者的瀏覽器中插入任意 Web 指令碼。
(CVE-2021-26947)

- Odoo Community 15.0 和更舊版本以及 Odoo Enterprise 15.0 和更舊版本中存在沙箱問題，經驗證的管理員可以藉此在伺服器上讀取本機檔案，包括敏感的組態檔。
(CVE-2021-44476)

- Odoo Community 15.0 和更舊版本以及 Odoo Enterprise 15.0 和更舊版本的 Website 應用程式中存在跨網站指令碼 (XSS) 問題，遠端攻擊者可藉此透過張貼特製的內容，在受害者的瀏覽器中插入任意 Web 指令碼。(CVE-2021-44775)

- Odoo Community 15.0 和更舊版本以及 Odoo Enterprise 15.0 和更舊版本中存在跨網站指令碼 (XSS) 問題，遠端攻擊者可藉此透過特製的上傳檔案名稱，在受害者的瀏覽器中插入任意 Web 指令碼。(CVE-2021-45071)

- Odoo Community 15.0 和更舊版本以及 Odoo Enterprise 15.0 和更舊版本中存在存取控制不當問題，此問題允許經驗證的遠端使用者使用已知憑證觸發示範資料的建立，包括使用者帳戶。(CVE-2021-45111)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。