TechNews
Observatory
Article

Dolibarr 23.0.0: dol_eval() Whitelist Bypass → RCE — Jiva SecurityDolibarr 23.0.0 に存在する評価エンジンにおけるゼロデイ脆弱性が特定され、認証された管理者が任意の PHP コードを実行可能となる。

unpinnedSecurity-Global
https://jivasecurity.com/writeups/dolibarr-remote-code-execution-cve-2026-22666
Summary
analysis llm/ollama(qwen3.5:4B) / 31s
published 2026-03-16 09:00 JST
Sources
Reddit / r/netsec
Analysis Tags
cve-2026-22666dolibarrexpression-enginephp-evalremote-code-executionwhitelist-bypasszero-day
Manual Tags
none
Reading

Article Notes

要点
  • Dolibarr 23.0.0 に存在する評価エンジンにおけるゼロデイ脆弱性が特定され、認証された管理者が任意の PHP コードを実行可能となる。
  • デフォルト管理アカウントと組み合わせて利用可能であり、暗号推測なしで実行可能な脆弱性が判明した。
  • ホワイトリストモードとブラックリストモードの制御フローにおいて、セキュリティチェックが誤って適用されない不整合が原因である。
重要性

ERP/CRM プラットフォームのデフォルト設定で RCE が実行可能な重大な脆弱性であり、サプライチェーン攻撃のリスクが極めて高い。

Signals

Why It Was Selected

Buzz

今回の収集範囲では、コミュニティで強い話題信号は確認できませんでした。

Global

影響範囲が広く、現場の前提や優先順位を変えうる動きです。単発のニュースではなく、今後の設計判断や選定基準を変える材料として追うべき話題です。

Context

単体のニュースよりも、前提や周辺事情を揃えて読むことで意味が立ち上がる話題です。すぐの結論より、運用や判断の文脈を整えるために押さえておく価値があります。