El investigador de seguridad Jiva ha descubierto una vulnerabilidad de día cero en Dolibarr 23.0.0 que permite a administradores autenticados ejecutar código PHP arbitrario en el servidor. El fallo, identificado como CVE-2026-22666, reside en el motor de evaluación de expresiones de la aplicación.
Dolibarr, una plataforma ERP/CRM de código abierto ampliamente utilizada, emplea una función denominada `dol_eval()` para procesar campos adicionales calculados. Estos campos permiten a los administradores ejecutar expresiones PHP para mostrar datos de forma dinámica. Aunque los desarrolladores implementaron un entorno aislado (sandbox) mediante `dol_eval_standard()` para evitar entradas maliciosas, el investigador halló un bypass crítico en la lógica de validación.
Una implementación defectuosa de la lista blanca
La vulnerabilidad se origina en un error de lógica en la forma en que el software gestiona sus modos de seguridad. La función `dol_eval_standard()` contiene dos rutas de validación distintas basadas en una variable de configuración global. Si bien la función define una lista de cadenas prohibidas —que incluye clases peligrosas como `SplFileObject`—, el código que realiza el escaneo de estos patrones solo se ejecuta cuando el sistema se encuentra en "modo lista negra".
En el "modo lista blanca" predeterminado, el sistema solo verifica las llamadas a funciones frente a una lista de elementos permitidos. Esto deja al motor vulnerable ante cualquier comando que, sin utilizar nombres de funciones prohibidas, logre ejecutar una lógica maliciosa. Jiva señaló que la rama de la lista blanca no aplica las comprobaciones a nivel de caracteres y patrones que sí están presentes en la rama de la lista negra.
Al explotar este descuido, un atacante con credenciales de administrador puede saltarse el sandbox. En algunos casos, el investigador descubrió que la vulnerabilidad podía aprovecharse en instalaciones predeterminadas sin necesidad de adivinar credenciales, siempre que la instalación objetivo utilizara las credenciales de administración por defecto.
Al momento de este informe, no se disponía de un parche inmediato. Se recomienda a las organizaciones que utilicen Dolibarr 23.0.0 que revisen sus controles de acceso administrativo y supervisen cualquier cambio no autorizado en la configuración.
