Dolibarr ERP/CRM versions prior to 23.0.2 contain an authenticated remote code execution vulnerability in the dol_eval_standard() function that fails to apply forbidden string checks in whitelist mode and does not detect PHP dynamic callable syntax. Attackers with administrator privileges can inject malicious payloads through computed extrafields or other evaluation paths using PHP dynamic callable syntax to bypass validation and achieve arbitrary command execution via eval().
Dolibarr ERP/CRM versions before 23.0.2 contain an authenticated remote code execution vulnerability in the dol_eval_standard() function that allows administrators to bypass validation and execute arbitrary code. The vulnerability exploits insufficient filtering of PHP dynamic callable syntax in whitelist mode, enabling code injection through computed extrafields.
تحتوي ثغرة CVE-2026-22666 على عيب في معالجة التحقق من صحة الإدخال في دالة dol_eval_standard() بحيث لا تكتشف بناء جملة PHP الديناميكية القابلة للاستدعاء. يمكن للمسؤولين المصرحين باستخدام حقول إضافية محسوبة أو مسارات تقييم أخرى لحقن حمولات ضارة وتجاوز التحقق من الصحة. يؤدي هذا إلى تنفيذ أوامر عشوائية على الخادم المتأثر.
إصدارات Dolibarr ERP/CRM السابقة للإصدار 23.0.2 تحتوي على ثغرة تنفيذ أوامر بعيدة مصرح بها في دالة dol_eval_standard() تسمح للمسؤولين بتجاوز التحقق وتنفيذ أكواد عشوائية. تستغل الثغرة عدم كفاية تصفية بناء جملة PHP الديناميكية القابلة للاستدعاء في وضع القائمة البيضاء.
Upgrade Dolibarr ERP/CRM to version 23.0.2 or later immediately. Restrict administrator account access to trusted personnel only. Implement network segmentation to limit access to Dolibarr instances. Monitor and audit all administrator activities, particularly those involving extrafields and evaluation functions. Apply input validation and disable eval() functions where possible.
قم بترقية Dolibarr ERP/CRM إلى الإصدار 23.0.2 أو أحدث فوراً. قيد الوصول إلى حسابات المسؤول للموظفين الموثوقين فقط. طبق تقسيم الشبكة لتحديد الوصول إلى مثيلات Dolibarr. راقب وتدقيق جميع أنشطة المسؤول، خاصة تلك التي تتعلق بالحقول الإضافية ودوال التقييم. طبق التحقق من الإدخال وعطل وظائف eval() حيث أمكن.