CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25137

Critical
Published: Translated: NVD NIST

Summary

Pakiet Odoo w NixOs, będący systemem ERP i CRM, w wersjach od 21.11 do przed 25.11 oraz 26.05, publicznie udostępnia menedżera bazy danych bez jakiejkolwiek autoryzacji. Umożliwia to nieautoryzowanym osobom usunięcie i pobranie całej bazy danych, w tym plików Odoo.

Risk Assessment

Nieautoryzowany dostęp do menedżera bazy danych stwarza poważne ryzyko utraty danych oraz naruszenia poufności informacji w organizacji. Potencjalni atakujący mogą wykorzystać tę podatność do złośliwych działań.

Recommendation

Zaleca się zabezpieczenie dostępu do menedżera bazy danych poprzez wprowadzenie odpowiednich mechanizmów autoryzacji oraz monitorowanie logów w celu wykrycia nieautoryzowanych prób dostępu.

Original NVD description (English source)

The NixOs Odoo package is an open source ERP and CRM system. From 21.11 to before 25.11 and 26.05, every NixOS based Odoo setup publicly exposes the database manager without any authentication. This allows unauthorized actors to delete and download the entire database, including Odoos file store. Unauthorized access is evident from http requests. If kept, searching access logs and/or Odoos log for requests to /web/database can give indicators, if this has been actively exploited. The database manager is a featured intended for development and not meant to be publicly reachable. On other setups, a master password acts as 2nd line of defence. However, due to the nature of NixOS, Odoo is not able to modify its own configuration file and thus unable to persist the auto-generated password. This also applies when manually setting a master password in the web-UI. This means, the password is lost when restarting Odoo. When no password is set, the user is prompted to set one directly via the da

Vulnerability data from NVD (NIST) · CISA KEV · EPSS