N/A

The XML API in Openbravo ERP 2.5, 3.0, and earlier allows remote authenticated users to read arbitrary files via an XML document with an external entity declaration in conjunction with an entity reference to /ws/dal/ADUser or other /ws/dal/XXX interfaces, related to an XML External Entity (XXE) issue.

N/A

N/A

Openbravo ERP XML外部实体注入漏洞

Openbravo ERP是西班牙Openbravo公司的一套适合于中小企业并基于Web的ERP系统（企业资源计划）。该系统包含生产管理、仓库管理、销售管理、财务管理等模块。 Openbravo ERP 2.5、3.0及之前的版本中的XML API存在XML外部实体注入漏洞。远程经过授权的攻击者可通过向XML API发送特制的XML请求利用该漏洞读取任意文件。

N/A

N/A