| タイトル | Openbravo ERP に情報漏えいの脆弱性 |
|---|---|
| 概要 | Openbravo ERP には、情報漏えい (CWE-200) の脆弱性が存在します。 本脆弱性は、XML 外部実体参照 (XXE) の問題に起因するものです。 CWE-200: Information Exposure http://cwe.mitre.org/data/definitions/200.html XML External Entity (XXE) Processing https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Processing |
| 想定される影響 | 当該製品のユーザによって、他のユーザの認証情報を取得される可能性があります。 結果として、管理者権限でシステムにアクセスされる可能性があります。 |
| 対策 | 2013年10月31日現在、対策方法は不明です。 [ワークアラウンドを実施する] 以下のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * OWASP XML External Entity (XXE) Processing を参考に、XML のパースに使用されている SAXParserFactory の外部実体参照機能を無効にする XML External Entity (XXE) Processing https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Processing |
| 公表日 | 2013年10月30日0:00 |
| 登録日 | 2013年10月31日17:22 |
| 最終更新日 | 2013年11月28日16:10 |
| CVSS2.0 : 注意 | |
| スコア | 3.5 |
|---|---|
| ベクター | AV:N/AC:M/Au:S/C:P/I:N/A:N |
| Openbravo |
| Openbravo ERP version 2.5 |
| Openbravo ERP version 3 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2013年10月31日] 掲載 [2013年11月06日] CVSS による深刻度:内容を更新 CWE による脆弱性タイプ一覧:CWE-ID を追加 参考情報:National Vulnerability Database (NVD) (CVE-2013-3617) を追加 [2013年11月28日] CWE による脆弱性タイプ一覧:CWE-ID を追加 CVSS による深刻度:内容を更新 |
2018年2月17日10:37 |
| 概要 | The XML API in Openbravo ERP 2.5, 3.0, and earlier allows remote authenticated users to read arbitrary files via an XML document with an external entity declaration in conjunction with an entity reference to /ws/dal/ADUser or other /ws/dal/XXX interfaces, related to an XML External Entity (XXE) issue. |
|---|---|
| 公表日 | 2013年11月3日4:55 |
| 登録日 | 2021年1月26日15:41 |
| 最終更新日 | 2024年11月21日10:53 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:openbravo:openbravo_erp:2.50:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openbravo:openbravo_erp:*:*:*:*:*:*:*:* | 3.0 | ||||
| cpe:2.3:a:openbravo:openbravo_erp:2.40:*:*:*:*:*:*:* | |||||