2026年2月初旬、オープンソース ERP および CRMのOdoo(オドゥー)をNixOS上で運用している環境において、データベースマネージャ機能がインターネットから未認証で到達できる状態になり得る脆弱性CVE-2026-25137が報告されました。CVSS v3.1は9.1(Critical)とされ、影響はデータベースおよびOdooのファイルストアに及びます。
何が起こるか
この問題が成立すると、外部の第三者がDBマネージャ機能に到達できる状態になり、結果として次のような被害につながります。
-
データベース全体とファイルストアの取得(機密情報の持ち出し)
-
本番DBの削除などによる業務停止
影響の説明は、NixOSのOdooパッケージではDBマネージャが未認証で公開され得る、と整理されています。
対象バージョン
CVE-2026-25137の影響を受けるのは、NixOSのOdooパッケージ(nixos/odoo)を利用している環境のうち、
NixOS 21.11、22.05、22.11、23.05、23.11、24.05、24.11、25.05です。これらのバージョンでは、既定の構成のままだとDBマネージャが未認証で到達可能になり得る点が問題になります。
対策バージョン
修正が取り込まれている対策バージョンは、NixOS 25.11および26.05です。可
能であれば該当バージョンへアップデートしたうえで、インターネット向け環境ではDBマネージャ自体を無効化する運用(list_dbをfalse)を合わせて徹底するのが安全です。
原因はOdooとNixOSのすれ違い
OdooはDB管理画面(作成、削除、ダンプ、リストアなど)を保護するために、マスターパスワード(admin_passwd)という考え方を持っています。通常はインストール時に生成した値を設定ファイルへ防御線として保持します。
一方、NixOSは設定をNix store由来の成果物として扱い、アプリケーションが実行中に設定ファイルへ書き戻して永続化する、という挙動と相性が良くありません。その結果として、マスターパスワードが再起動で保持されない状態が生まれ、DBマネージャが無防備になり得る、というのが問題の根本です。
さらに注意すべき点として、管理画面でマスターパスワードを設定したつもりでも、再起動で失われるため恒久対策にならないことが明記されています。
また、NixOS側のservices.odoo.settingsでマスターパスワードを持たせる案も、現状のモジュールではシークレットを適切に扱えず、値がnix storeに載ってしまうため推奨されない、とされています。








