つみかさね

CVE-2026-23500

Critical(9.1)

CVE-2026-23500 — Dolibarr OSコマンドインジェクション

公開日: 2026-05-02データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
DolibarrDolibarr Foundation< 23.0.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Dolibarrのバージョンを確認する
  2. 223.0.0以降へアップデートする
  3. 3管理者アカウントのアクセス管理を見直す

影響対象

Dolibarr ERP/CRM利用者

補足

  • -管理者権限が必要な攻撃だが、管理者アカウント侵害時のRCEリスクは深刻
CVEDolibarrコマンドインジェクションERP

概要

ERP/CRMソフトウェア「Dolibarr」のバージョン23.0.0未満において、odf.phpのODTからPDFへの変換処理にコマンドインジェクションの脆弱性があります。MAIN_ODT_AS_PDF設定値がサニタイズなしでexec()に渡されるシェルコマンドに直接連結されるため、認証済みの管理者がコマンドセパレータを用いて任意のOSコマンドを実行できます。

CVSSベクトル

項目
CVSSスコア9.1(Critical)
CWECWE-78(OSコマンドインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル高(管理者)
ユーザー関与不要

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
DolibarrDolibarr Foundation23.0.0未満23.0.0

修正バージョンと回避策

  • Dolibarr 23.0.0以降へアップデートしてください
  • 管理者アカウントのアクセス管理を強化してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-23500
GitHub Advisory:https://github.com/Dolibarr/dolibarr/security/advisories/GHSA-w5j3-8fcr-h87w
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。