安全研究员 Jiva 发现 Dolibarr 23.0.0 版本中存在一个零日漏洞,已认证的管理员可利用该漏洞在服务器上执行任意 PHP 代码。该漏洞的编号为 CVE-2026-22666,存在于应用程序的表达式评估引擎中。
Dolibarr 是一款广泛使用的开源 ERP/CRM 平台,它利用名为 `dol_eval()` 的函数来处理计算后的扩展字段(extrafields)。这些字段允许管理员运行 PHP 表达式,从而实现数据的动态显示。尽管开发人员通过 `dol_eval_standard()` 实现了沙箱机制以防止恶意输入,但研究人员发现其验证逻辑存在严重的绕过风险。
存在缺陷的白名单实现机制
该漏洞源于软件处理安全模式时的逻辑错误。`dol_eval_standard()` 函数根据全局配置变量包含两条不同的验证路径。虽然该函数定义了一个禁止字符串列表(包括 `SplFileObject` 等危险类),但负责扫描这些模式的代码仅在系统处于“黑名单模式”时才会运行。
在默认的“白名单模式”下,系统仅会对函数调用进行许可列表检查。这使得引擎极易受到任何不使用禁用函数名但仍能执行恶意逻辑的指令的攻击。Jiva 指出,白名单分支未能应用黑名单分支中存在的字符级和模式级检查。
利用这一疏忽,拥有管理员凭据的攻击者可以绕过沙箱。研究人员发现,在某些情况下,如果目标安装使用了默认的管理员凭据,攻击者甚至无需进行任何密码猜测即可利用该漏洞。
报告发布时,官方尚未发布修复补丁。建议使用 Dolibarr 23.0.0 的机构重新审查其管理员访问控制权限,并密切监控是否存在未经授权的配置更改。
