CVE-2026-34036Dolibarr ERP/CRM在22.0.4及之前版本中存在本地文件包含(LFI)漏洞。该漏洞位于核心AJAX端点`/core/ajax/selectobject.php`中。由于核心访问控制函数`restrictedArea()`存在fail-open逻辑缺陷,拥有低权限的攻击者可以通过操纵`objectdesc`参数,无需特定权限即可读取服务器上的任意非PHP文件(如.env配置文件、.htaccess、备份或日志等)。发布时暂无公开补丁。
该漏洞的根本原因在于Dolibarr核心AJAX端点`/core/ajax/selectobject.php`对用户输入的`objectdesc`参数缺乏严格的路径验证。攻击者可以通过构造包含路径遍历序列(如`../`)的输入来指定任意文件路径。更为关键的是,该系统的核心访问控制函数`restrictedArea()`存在“fail-open”逻辑缺陷。这意味着当权限校验逻辑遇到异常或特定条件未完全满足时,默认行为是允许访问而非拒绝。因此,即使攻击者仅拥有低权限且不具备访问该特定对象的权限,系统也会放行请求。攻击者利用此漏洞,通过HTTP请求触发文件包含操作,虽然受限于PHP引擎特性通常无法直接执行包含的PHP代码,但可以成功读取服务器上的任意非PHP文件(如环境配置`.env`、访问控制`.htaccess`、日志文件及备份文件等),从而造成严重的信息泄露风险,为进一步攻击提供凭据。