Dolibarr 23.0.2 安全更新总结 漏洞概述 本次发布(23.0.2)包含多项安全修复和权限改进,主要涉及以下关键漏洞: 1. SSRF (服务器端请求伪造): 编号: 描述: 修复了在Webhook(网络钩子)功能中可能存在的SSRF漏洞,阻止了恶意请求。 2. 文件处理/上传漏洞: 编号: 描述: 禁用并清理(sanitize)了废弃的 文件功能,防止潜在的文件操作风险。 3. 安全审计修复: 编号: 描述: 来自 Sec4check 的安全审计修复(Credit Grzegorz Tworek, Sec4check),具体涉及内部逻辑或权限的修正。 4. Docker 部署安全: 编号: 描述: 修复了演示版 Docker 包(demo docker packages)中的多个问题,提供了更安全的使用方式。 5. API 权限/认证问题: 编号: 描述: 修复了 API 在通过 ID 获取仓库(Warehouse)时返回 401 错误的问题,涉及权限验证逻辑。 6. 会计模块权限: 编号: 描述: 改进了会计条目创建和导出时的权限控制(Use better rights on create / export entry)。 影响范围 受影响的系统为 Dolibarr ERP/CRM 的所有用户,特别是涉及以下功能的场景: 配置和使用 Webhook 功能。 涉及文件加载或保存的操作。 使用 Docker 部署 Dolibarr 环境。 调用 Dolibarr API 接口。 使用会计(Accountancy)模块进行条目创建或导出。 修复方案 升级版本: 将 Dolibarr 系统升级至 23.0.2 版本。 操作建议: 升级后,建议检查 Webhook 配置、API 调用权限以及 Docker 部署配置,确保符合新的安全标准。 (注:该页面未包含具体的 POC 代码或利用代码,仅提供了修复描述。)*