Vulnerabilidad en NixOS (CVE-2026-25137)

El paquete NixOs Odoo es un sistema ERP y CRM de código abierto. Desde la versión 21.11 hasta antes de la 25.11 y la 26.05, cada configuración de Odoo basada en NixOS expone públicamente el gestor de la base de datos sin ninguna autenticación. Esto permite a actores no autorizados eliminar y descargar la base de datos completa, incluyendo el almacén de archivos de Odoo. El acceso no autorizado es evidente a partir de las solicitudes HTTP. Si se mantienen, la búsqueda en los registros de acceso y/o el registro de Odoo de solicitudes a /web/database puede dar indicadores, si esto ha sido explotado activamente. El gestor de la base de datos es una característica destinada al desarrollo y no está pensado para ser accesible públicamente. En otras configuraciones, una contraseña maestra actúa como segunda línea de defensa. Sin embargo, debido a la naturaleza de NixOS, Odoo no puede modificar su propio archivo de configuración y, por lo tanto, no puede persistir la contraseña autogenerada. Esto también se aplica al establecer manualmente una contraseña maestra en la interfaz de usuario web (web-UI). Esto significa que la contraseña se pierde al reiniciar Odoo. Cuando no se establece ninguna contraseña, se le pide al usuario que establezca una directamente a través del gestor de la base de datos. Esto no requiere autenticación ni acción por parte de ningún usuario autorizado o del administrador del sistema. Por lo tanto, la base de datos es efectivamente legible por cualquier persona capaz de alcanzar Odoo. Esta vulnerabilidad está corregida en las versiones 25.11 y 26.05.