Skip to main content

1.2 Sécurité

  • Restriction IP par plage CIDR : il est désormais possible de limiter l’accès à Dolibarr à des plages d’adresses IP spécifiques (ex : 192.168.1.0/24), plutôt que seulement à des adresses IP uniques.
  • Le niveau de protection CSRF passe de 2 à 3 (MAIN_SECURITY_CSRF_WITH_TOKEN), renforçant la vérification des tokens anti-falsification sur les formulaires.
  • L’option MAIN_DISALLOW_UNSECURED_SELECT_INTO_EXTRAFIELDS_FILTER est activée par défaut et déplacée dans le fichier conf.php, bloquant les filtres non sécurisés sur les extrachamps et évitant des injections SQL potentielles.
  • L’éditeur riche (WYSIWYG) est désactivé par défaut sur les pages publiques pour limiter les risques XSS sur les formulaires ouverts à l’extérieur.
  • Début d’implémentation de MAIN_RESTRICTHTML_ONLY_VALID_HTML=2 pour bloquer les balises HTML dangereuses dans les zones de contenu riche.
  • Amélioration des outils de vérification d’intégrité des fichiers Dolibarr (contrôle des checksums des fichiers du core).
  • L’API de connexion (/login) est désactivée par défaut : l’API doit être utilisée avec un Bearer token (token API utilisateur). Pour réactiver les endpoints de login, ajouter API_ENABLE_LOGIN_API=1 dans la configuration.

NOTE : Zone IA et vulnérabilités : l’intégration de l’IA dans Dolibarr nécessite une vigilance particulière sur les données transmises aux fournisseurs d’IA tiers. L’utilisateur du serveur MCP doit impérativement avoir des droits minimaux (lecture seule).