1.2 Sécurité
- Restriction IP par plage CIDR : il est désormais possible de limiter l’accès à Dolibarr à des plages d’adresses IP spécifiques (ex : 192.168.1.0/24), plutôt que seulement à des adresses IP uniques.
- Le niveau de protection CSRF passe de 2 à 3 (MAIN_SECURITY_CSRF_WITH_TOKEN), renforçant la vérification des tokens anti-falsification sur les formulaires.
- L’option MAIN_DISALLOW_UNSECURED_SELECT_INTO_EXTRAFIELDS_FILTER est activée par défaut et déplacée dans le fichier conf.php, bloquant les filtres non sécurisés sur les extrachamps et évitant des injections SQL potentielles.
- L’éditeur riche (WYSIWYG) est désactivé par défaut sur les pages publiques pour limiter les risques XSS sur les formulaires ouverts à l’extérieur.
- Début d’implémentation de MAIN_RESTRICTHTML_ONLY_VALID_HTML=2 pour bloquer les balises HTML dangereuses dans les zones de contenu riche.
- Amélioration des outils de vérification d’intégrité des fichiers Dolibarr (contrôle des checksums des fichiers du core).
- L’API de connexion (/login) est désactivée par défaut : l’API doit être utilisée avec un Bearer token (token API utilisateur). Pour réactiver les endpoints de login, ajouter API_ENABLE_LOGIN_API=1 dans la configuration.
NOTE : Zone IA et vulnérabilités : l’intégration de l’IA dans Dolibarr nécessite une vigilance particulière sur les données transmises aux fournisseurs d’IA tiers. L’utilisateur du serveur MCP doit impérativement avoir des droits minimaux (lecture seule).