关键漏洞信息 漏洞标题 Database and filestore publicly accessible with default Odoo configuration 漏洞严重性 CVSS Score: 9.1 Severity: Critical 受影响版本 21.11 22.05 22.11 23.05 23.11 24.05 24.11 25.05 修复版本 25.11 26.05 影响 每个基于 NixOS 的 Odoo 设置在没有任何身份验证的情况下公开暴露数据库管理器。这允许未经授权的用户删除和下载整个数据库,包括 Odoo 的文件存储。 未经授权的访问可以从 HTTP 请求中看到。如果保留,搜索访问日志和/或 Odoo 日志以查找对 的请求可以提供指示器,如果这已被积极利用。 修复措施/缓解 推荐的修复是通过设置 完全禁用数据库管理器。 如果立即更新配置不可行,可以暂时阻止所有针对 的请求。 设置主密码不是适当的修复措施。如果通过 Web UI 设置,它将在重新启动 Odoo 时丢失。通过 设置主密码也不推荐,因为当前模块无法正确处理密钥。 CVE ID CVE-2026-25137 参考 官方文档