Bulletin d'alerte Debian

DSA-5399-1 odoo -- Mise à jour de sécurité

Date du rapport :

5 mai 2023

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans odoo, une suite d'applications commerciales basée sur le web au code source ouvert.

CVE-2021-44775, CVE-2021-26947, CVE-2021-45071, CVE-2021-26263
Script intersite (XSS) permettant à un attaquant distant d'injecter des commandes arbitraires.
CVE-2021-45111
Contrôle d'accès incorrect permettant à un utilisateur distant authentifié de créer des comptes utilisateurs et d'accéder à des données à accès restreint.
CVE-2021-44476, CVE-2021-23166
Contrôle d'accès incorrect permettant à un administrateur distant authentifié d'accéder à des fichiers locaux sur le serveur.
CVE-2021-23186
Contrôle d'accès incorrect permettant à un administrateur distant authentifié de modifier le contenu de bases de données d'autres entités.
CVE-2021-23178
Contrôle d'accès incorrect permettant à un utilisateur distant authentifié d'utiliser la méthode de paiement d'un autre utilisateur.
CVE-2021-23176
Contrôle d'accès incorrect permettant à un utilisateur distant authentifié d'accéder à des informations comptables.
CVE-2021-23203
Contrôle d'accès incorrect permettant à un utilisateur distant authentifié d'accéder à des documents arbitraires au moyen d'exportations de PDF.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 14.0.0+dfsg.2-7+deb11u1.

Nous vous recommandons de mettre à jour vos paquets odoo.

Pour disposer d'un état détaillé sur la sécurité de odoo, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/odoo