CVE-2026-22666: krytyczna luka RCE w Dolibarr ERP/CRM

Wersje Dolibarr ERP/CRM przed 23.0.2 zawierają krytyczną lukę umożliwiającą zdalne wykonanie kodu przez administratorów. Zalecana szybka aktualizacja.
CVE-2026-22666CVSS 8.6Web

CVE-2026-22666: krytyczna luka RCE w Dolibarr ERP/CRM

Wersje Dolibarr ERP/CRM przed 23.0.2 zawierają krytyczną lukę umożliwiającą zdalne wykonanie kodu przez administratorów. Zalecana szybka aktualizacja.

CVSS
8.6 HIGH
EPSS
96.42%
Aktywnie wykorzystywana
brak w KEV
Produkt
dolibarr erp\/crm

Co wiadomo

W wersjach Dolibarr ERP/CRM przed 23.0.2 wykryto lukę umożliwiającą zdalne wykonanie kodu przez uwierzytelnionych administratorów. Luka wynika z niewłaściwej walidacji w funkcji dol_eval_standard(), pozwalającej na obejście filtrów i wykonanie dowolnych poleceń PHP.

Wpływ biznesowy

Luka o wysokim poziomie zagrożenia (CVSS 8.6) umożliwia administratorom wstrzyknięcie złośliwego kodu i przejęcie kontroli nad systemem. Może to prowadzić do poważnych naruszeń bezpieczeństwa, utraty danych oraz zakłóceń w działaniu infrastruktury IT obsługującej ERP/CRM.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację Dolibarr ERP/CRM do wersji 23.0.2 lub nowszej. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp administratorów, monitoruj logi pod kątem podejrzanych działań oraz przeglądaj konfiguracje niestandardowych pól i funkcji oceniających kod. Priorytetyzuj wdrożenie poprawek i minimalizuj ekspozycję systemu na potencjalne ataki.

Źródła