漏洞信息详情

Openbravo ERP XML外部实体注入漏洞

• CNNVD编号：CNNVD-201310-719
• 危害等级： 低危
  
• CVE编号： CVE-2013-3617
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2013-10-31
• 威胁类型： 远程
• 更新时间： 2013-11-04
• 厂        商： openbravo
• 漏洞来源： Tod Beardsley and ...

漏洞简介

Openbravo ERP是西班牙Openbravo公司的一套适合于中小企业并基于Web的ERP系统（企业资源计划）。该系统包含生产管理、仓库管理、销售管理、财务管理等模块。

Openbravo ERP 2.5、3.0及之前的版本中的XML API存在XML外部实体注入漏洞。远程经过授权的攻击者可通过向XML API发送特制的XML请求利用该漏洞读取任意文件。

漏洞公告

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.openbravo.com/

参考网址

来源:US-CERT Vulnerability Note: VU#533894

名称: VU#533894

链接:http://www.kb.cert.org/vuls/id/533894

来源: community.rapid7.com

链接:https://community.rapid7.com/community/metasploit/blog/2013/10/30/seven-tricks-and-treats

来源: BID

名称: 63431

链接:http://www.securityfocus.com/bid/63431

受影响实体

• Openbravo Openbravo_erp:2.40  
• Openbravo Openbravo_erp:2.50  
• Openbravo Openbravo_erp:3.0  

补丁

暂无