发布日期：2026-02-02
更新日期：2026-04-14

受影响系统：

NixOS Odoo package >= 21.11 < 25.11
NixOS Odoo package < 26.05

描述：

---

CVE(CAN) ID: CVE-2026-25137

NixOS中的Odoo软件包是一款开源ERP和CRM系统。
NixOS Odoo package 21.11至25.11之前版本和26.05之前版本存在身份认证错误漏洞，该漏洞源于Odoo未对数据库管理器实施任何身份验证，同时由于NixOS的不可变配置特性，Odoo无法持久化自动生成的主密码，导致密码在重启后丢失，而数据库管理器会直接提示用户设置密码，攻击者可利用该漏洞直接访问/web/database端点，在无需认证的情况下删除或下载整个数据库，导致敏感数据泄露或业务中断。

<**>

建议：

---

厂商补丁：

NixOS
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/NixOS/nixpkgs/security/advisories/GHSA-cwmq-6wv5-f3px

浏览次数：153
严重程度：0（网友投票）