CVE-2026-22666

Name of the Vulnerable Software and Affected Versions Dolibarr ERP/CRM versões anteriores a 23.0.2

Description Um problema de execução remota de código autenticado existe na função dol eval standard(). O sistema falha ao aplicar verificações de strings proibidas quando opera no modo de lista branca (whitelist) e não detecta a sintaxe de chamáveis dinâmicos do PHP. Atacantes com privilégios de administrador podem injetar cargas maliciosas por meio de extrafields computados ou outros caminhos de avaliação usando a sintaxe de chamáveis dinâmicos do PHP para ignorar a validação e alcançar a execução de comandos arbitrários via eval(). A causa raiz é que a lista de bloqueio $forbiddenphpstrings é aplicada apenas no modo de lista negra (blacklist), enquanto a regex da lista branca não detecta a sintaxe de chamáveis dinâmicos do PHP.

Recommendations Atualize para a versão 23.0.2 ou posterior.