N/A

An Insecure Direct Object Reference (IDOR) vulnerability in the Xtivia Web Time and Expense (WebTE) interface used for Microsoft Dynamics NAV before 2017 allows an attacker to download arbitrary files by specifying arbitrary values for the recId and filename parameters of the /Home/GetAttachment function.

N/A

N/A

Microsoft Dynamics 信息泄露漏洞

Microsoft Dynamics是美国微软（Microsoft）公司的一套适用于跨国企业的ERP业务解决方案。该产品包括财务管理、生产管理和商业智能管理等。 Microsoft Dynamics NAV 2017 年之前的 Xtivia Web 时间和费用 (WebTE) 接口存在信息泄露漏洞，该漏洞源于不安全直接对象引用 (IDOR)，该漏洞允许攻击者通过为 /Home/GetAttachment 的 recId 和文件名参数指定任意值来下载任意文件功能。

N/A

N/A