Odoo Database Manager expuesto: tu base de datos está abierta y no lo sabes

Hay una pantalla en Odoo que puede destruir tu empresa en 30 segundos. Se llama Odoo Database Manager, está en la ruta /web/database/manager de tu servidor y permite a cualquiera que acceda a ella descargar, duplicar o eliminar toda tu base de datos. Clientes, facturas, inventario, contraseñas, todo. Sin necesidad de usuario ni contraseña si está mal configurado.

No es un escenario teórico. En febrero de 2026 se publicó la CVE-2026-25137, una vulnerabilidad crítica (puntuación CVSS 9.1 sobre 10) que afecta a instalaciones de Odoo donde el gestor de base de datos está expuesto a internet sin protección. Y no es un fallo exótico: es una configuración por defecto que muchas PYMEs ni siquiera saben que existe.

En este artículo te explicamos qué es el Database Manager de Odoo, por qué es tan peligroso si está expuesto, cómo comprobar si tu instalación es vulnerable y cómo solucionarlo.

Qué es el Odoo Database Manager

El Database Manager es una interfaz de administración que Odoo incluye de serie para gestionar las bases de datos del servidor. Desde ella se puede:

• Crear nuevas bases de datos.
• Duplicar bases de datos existentes.
• Eliminar bases de datos (sin confirmación adicional en algunas versiones).
• Descargar un backup completo de la base de datos, incluyendo todos los datos y archivos adjuntos.
• Restaurar bases de datos desde un archivo de backup.

Es una herramienta legítima y útil para administradores de sistemas durante la instalación y el mantenimiento. El problema es que, en muchas instalaciones, esta interfaz es accesible desde internet sin ninguna restricción.

Por qué es crítico: lo que un atacante puede hacer

Si el Odoo Database Manager de tu instalación está expuesto a internet sin protección, un atacante puede:

Descargar toda tu base de datos

Un clic. Un archivo ZIP con toda la información de tu empresa: clientes con nombres, emails, teléfonos y direcciones. Facturas, albaranes, pedidos y precios. Inventario completo con costes. Datos bancarios y de pago. Contraseñas de usuarios (aunque estén hasheadas, se pueden intentar descifrar). Documentos adjuntos: contratos, DNIs, nóminas.

Es una violación masiva del RGPD que puede suponer sanciones de hasta 20 millones de euros, además del daño reputacional irreparable.

Eliminar toda tu base de datos

Un clic. Base de datos eliminada. Si no tienes backup verificado y reciente, has perdido todo: años de datos, facturación, clientes, inventario. Coste de reconstrucción: inestimable. Tiempo de parada del negocio: días o semanas.

Inyectar datos o restaurar una base de datos manipulada

El atacante puede restaurar una versión modificada de tu base de datos con usuarios administradores suyos, accediendo así a todo el sistema con permisos completos.

La CVE-2026-25137: el caso real

En febrero de 2026, el CERT de Bélgica y varios investigadores de seguridad publicaron la CVE-2026-25137, que afecta específicamente a instalaciones de Odoo en NixOS, pero el problema subyacente es mucho más amplio.

El fallo: en determinadas configuraciones, la contraseña maestra del Database Manager (master password) no se persiste correctamente después de reiniciar el servicio. Esto significa que aunque la configures, después de un reinicio vuelve a estar desprotegido. Un atacante que acceda a /web/database/manager tiene control total sin autenticación.

Puntuación CVSS: 9.1 sobre 10 (crítica). Clasificada como bypass de autenticación con impacto de confidencialidad e integridad alto.

Pero más allá de NixOS, hemos visto este problema en instalaciones de Odoo en Ubuntu, Debian, Docker y hosting compartido donde el administrador simplemente no sabía que esta interfaz existía o no la había protegido.

Cómo saber si tu Odoo está expuesto

Es muy fácil de comprobar. Abre tu navegador y accede a:

https://tu-dominio.com/web/database/manager

Si ves una interfaz con opciones para crear, duplicar, eliminar o descargar bases de datos, tu Odoo está expuesto. Si te pide una contraseña maestra (master password), estás algo más protegido, pero no del todo: la interfaz sigue siendo accesible y la contraseña puede ser débil o por defecto.

Lo correcto es que esa URL devuelva un error 404 o un acceso denegado.

Cómo proteger el Database Manager de Odoo

1. Desactivar el Odoo Database Manager en producción

La solución más efectiva: si no necesitas crear ni eliminar bases de datos desde la interfaz web (y en producción nunca deberías), desactívalo completamente. En el archivo de configuración de Odoo (odoo.conf):

list_db = False

Esto desactiva la interfaz del Database Manager y oculta la lista de bases de datos en la pantalla de login. Es la configuración que debería tener toda instalación de Odoo en producción.

2. Establecer una master password robusta

Si por alguna razón necesitas mantener el Database Manager activo, configura una contraseña maestra fuerte en odoo.conf:

admin_passwd = tu_contraseña_muy_larga_y_compleja

Debe ser una contraseña de al menos 20 caracteres, generada aleatoriamente. Nunca uses la contraseña por defecto ni una contraseña fácil de adivinar.

3. Bloquear el acceso a nivel de servidor web

Configura tu proxy inverso (Nginx o Apache) para bloquear el acceso externo a las rutas del Database Manager:

En Nginx:

location ~* ^/web/database {
    deny all;
    return 404;
}

Esto añade una capa de protección a nivel de red que funciona incluso si la configuración de Odoo falla.

4. Usar firewall para limitar el acceso

Restringe el acceso al puerto de Odoo (normalmente 8069) desde internet. Solo el proxy inverso (Nginx/Apache) debería poder comunicarse con Odoo directamente. Los usuarios acceden a través del proxy en el puerto 443 (HTTPS).

5. Mantener Odoo actualizado

Las versiones recientes de Odoo corrigen vulnerabilidades conocidas. Si usas Odoo 16 o anterior, plantea seriamente una actualización. Las versiones con soporte activo reciben parches de seguridad; las que no, quedan expuestas a cada nueva vulnerabilidad que se descubra.

Otros fallos de seguridad habituales en instalaciones de Odoo

El Odoo Database Manager es el fallo más grave, pero no el único. En nuestras auditorías de seguridad a instalaciones de Odoo encontramos frecuentemente:

• Odoo accesible por HTTP sin cifrar: datos de login viajando en texto plano.
• Puerto 8069 abierto a internet: el puerto directo de Odoo expuesto, permitiendo saltarse el proxy.
• Contraseñas de administrador débiles: "admin", "odoo", "123456" o el nombre de la empresa.
• Sin 2FA: acceso al ERP con solo usuario y contraseña, sin segundo factor de autenticación.
• Backups sin verificar: el backup de Odoo existe pero nadie ha comprobado que se puede restaurar.
• Versiones sin soporte: Odoo 14, 15 o 16 sin parches de seguridad.
• Módulos de terceros sin auditar: módulos descargados de la comunidad sin revisión de seguridad.

Cómo te ayuda Grupo ZAS

En Grupo ZAS somos partner oficial de Odoo en Alicante y mantenemos instalaciones de Odoo en producción para más de 100 empresas. Cuando implantamos o mantenemos un Odoo, la seguridad no es un añadido: es la base.

• Odoo Database Manager desactivado en todas las instalaciones de producción, sin excepciones.
• HTTPS obligatorio con certificado SSL y cabeceras de seguridad (HSTS, CSP, X-Frame-Options).
• Puerto 8069 cerrado: solo accesible a través del proxy inverso.
• 2FA activado para todos los usuarios administradores.
• Backups diarios automatizados con pruebas periódicas de restauración.
• Actualizaciones de seguridad aplicadas en las primeras 48 horas tras su publicación.
• Monitorización 24/7 con alertas de accesos sospechosos.

Si tienes un Odoo en producción y no estás seguro de si el Database Manager está expuesto, contacta con nosotros. Lo comprobamos en 5 minutos y, si es necesario, lo securizamos.

Preguntas frecuentes

¿Cómo sé si mi Odoo está afectado?

Accede a https://tu-dominio.com/web/database/manager desde un navegador. Si ves la interfaz de gestión de bases de datos sin que te pida credenciales, tu Odoo está expuesto y es urgente actuar.

¿Desactivar el Database Manager afecta al funcionamiento de Odoo?

No. El Database Manager es una herramienta de administración del servidor, no del ERP. Desactivarlo con list_db = False no afecta a ninguna funcionalidad de Odoo para los usuarios.

¿La CVE-2026-25137 solo afecta a NixOS?

La CVE específica sí, pero el problema de fondo (Database Manager expuesto a internet) afecta a cualquier instalación de Odoo que no lo haya desactivado explícitamente, independientemente del sistema operativo.

¿Qué versiones de Odoo están afectadas?

Todas las versiones de Odoo incluyen el Database Manager de serie. Lo importante no es la versión sino la configuración: si list_db no está en False y no hay bloqueo a nivel de proxy, estás expuesto.

¿Grupo ZAS puede auditar mi instalación de Odoo?

Sí. Hacemos auditorías de seguridad específicas para Odoo que incluyen: Database Manager, configuración de servidor, puertos expuestos, contraseñas, 2FA, backups, versiones y módulos de terceros. Solicita tu auditoría.