关键信息 漏洞名称: XML External Entity (XXE) Injection in e-invoice pro (CVE-2025-56424) 受影响的产品: e-invoice pro von Insiders Technologies GmbH – Versionen vor Release 1 Service Pack 2 CVSS评分(v3.1): 7.6 (High) 相关 CVE: CVE-2025-56424 建议: Update to Release 1 Service Pack 2 oder höher 发现者: Simon Holl und Lucas Noki von der MindBytes GmbH 技术细节 向互联网建立连接 e-invoice pro 接收并处理以XML格式的入账单(E-Rechnung),其中XML解析器配置为处理包含的 DTDs。这使得攻击者可以通过外部实体引用(如 )发起攻击。 XML解析器在处理定义元素时,向指定的外部域发送HTTP请求。 访问本地服务器文件 攻击者可以利用类似 的引用读取本地服务器文件。 通过将文件内容插入到XML文档中,攻击者可以在网络上发送文件内容。 攻击后果 可能的结果包括读取和发送服务器文件、建立到互联网的连接以及过载服务器资源。