| Title | Openbravo ERP に情報漏えいの脆弱性 |
|---|---|
| Summary | Openbravo ERP には、情報漏えい (CWE-200) の脆弱性が存在します。 本脆弱性は、XML 外部実体参照 (XXE) の問題に起因するものです。 CWE-200: Information Exposure http://cwe.mitre.org/data/definitions/200.html XML External Entity (XXE) Processing https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Processing |
| Possible impacts | 当該製品のユーザによって、他のユーザの認証情報を取得される可能性があります。 結果として、管理者権限でシステムにアクセスされる可能性があります。 |
| Solution | 2013年10月31日現在、対策方法は不明です。 [ワークアラウンドを実施する] 以下のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * OWASP XML External Entity (XXE) Processing を参考に、XML のパースに使用されている SAXParserFactory の外部実体参照機能を無効にする XML External Entity (XXE) Processing https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Processing |
| Publication Date | Oct. 30, 2013, midnight |
| Registration Date | Oct. 31, 2013, 5:22 p.m. |
| Last Update | Nov. 28, 2013, 4:10 p.m. |
| CVSS2.0 : 注意 | |
| Score | 3.5 |
|---|---|
| Vector | AV:N/AC:M/Au:S/C:P/I:N/A:N |
| Openbravo |
| Openbravo ERP version 2.5 |
| Openbravo ERP version 3 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2013年10月31日] 掲載 [2013年11月06日] CVSS による深刻度:内容を更新 CWE による脆弱性タイプ一覧:CWE-ID を追加 参考情報:National Vulnerability Database (NVD) (CVE-2013-3617) を追加 [2013年11月28日] CWE による脆弱性タイプ一覧:CWE-ID を追加 CVSS による深刻度:内容を更新 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The XML API in Openbravo ERP 2.5, 3.0, and earlier allows remote authenticated users to read arbitrary files via an XML document with an external entity declaration in conjunction with an entity reference to /ws/dal/ADUser or other /ws/dal/XXX interfaces, related to an XML External Entity (XXE) issue. |
|---|---|
| Publication Date | Nov. 3, 2013, 4:55 a.m. |
| Registration Date | Jan. 26, 2021, 3:41 p.m. |
| Last Update | Nov. 21, 2024, 10:53 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:openbravo:openbravo_erp:2.50:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openbravo:openbravo_erp:*:*:*:*:*:*:*:* | 3.0 | ||||
| cpe:2.3:a:openbravo:openbravo_erp:2.40:*:*:*:*:*:*:* | |||||