CVE-2026-22666: krytyczna luka RCE w Dolibarr ERP/CRM
Wersje Dolibarr ERP/CRM przed 23.0.2 zawierają krytyczną lukę umożliwiającą zdalne wykonanie kodu przez administratorów. Zalecana szybka aktualizacja.
- CVSS
- 8.6 HIGH
- EPSS
- 96.42%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- dolibarr erp\/crm
Co wiadomo
W wersjach Dolibarr ERP/CRM przed 23.0.2 wykryto lukę umożliwiającą zdalne wykonanie kodu przez uwierzytelnionych administratorów. Luka wynika z niewłaściwej walidacji w funkcji dol_eval_standard(), pozwalającej na obejście filtrów i wykonanie dowolnych poleceń PHP.
Wpływ biznesowy
Luka o wysokim poziomie zagrożenia (CVSS 8.6) umożliwia administratorom wstrzyknięcie złośliwego kodu i przejęcie kontroli nad systemem. Może to prowadzić do poważnych naruszeń bezpieczeństwa, utraty danych oraz zakłóceń w działaniu infrastruktury IT obsługującej ERP/CRM.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację Dolibarr ERP/CRM do wersji 23.0.2 lub nowszej. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp administratorów, monitoruj logi pod kątem podejrzanych działań oraz przeglądaj konfiguracje niestandardowych pól i funkcji oceniających kod. Priorytetyzuj wdrożenie poprawek i minimalizuj ekspozycję systemu na potencjalne ataki.