Kivitendo ERP系统XXE漏洞致服务器文件泄露

本文详细分析了CVE-2025-66370漏洞,该漏洞存在于Kivitendo ERP软件3.9.2之前版本中,攻击者可通过上传特定格式的电子发票实施XXE注入攻击,从而读取和窃取服务器文件系统中的敏感文件。

CVE-2025-66370 - Kivitendo XXE文件系统泄露漏洞

概述

CVE-2025-66370 是一个存在于Kivitendo ERP软件中的安全漏洞,CVSS 3.1评分为5.0(中危)。

漏洞描述

Kivitendo 3.9.2之前的版本存在XML外部实体注入漏洞。通过上传ZUGFeRD格式的电子发票,攻击者能够读取并外泄服务器文件系统中的文件。

关键信息

  • 发布日期:2025年11月28日 凌晨4:16
  • 最后修改日期:2025年11月28日 凌晨4:16
  • 可远程利用:是
  • 来源:cve@mitre.org

受影响产品

目前尚未记录到具体的受影响产品信息。

  • 受影响供应商总数:0
  • 产品总数:0

CVSS评分详情

评分 版本 严重性 向量 可利用性评分 影响评分 来源
5.0 CVSS 3.1 中危 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N) 1.4 1.4 cve@mitre.org
5 CVSS 3.1 中危 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N) 1.4 1.4 MITRE-CVE

CVSS 3.1基础评分细节:5.0

  • 攻击向量:网络
  • 攻击复杂性:低
  • 所需权限:低
  • 用户交互:无需
  • 范围:变更
  • 机密性影响:低
  • 完整性影响:无
  • 可用性影响:无

解决方案

  1. 更新Kivitendo至3.9.2或更高版本以修复XXE注入漏洞。
  2. 如果无法立即更新,考虑禁用ZUGFeRD发票上传功能
  3. 仔细验证所有上传的发票格式

相关参考链接

关联的CWE(通用缺陷枚举)

CWE-611:对XML外部实体引用的限制不当

关联的CAPEC(常见攻击模式枚举与分类)

CAPEC-221:数据序列化外部实体膨胀 攻击者利用应用程序在解析XML输入时处理外部实体的方式,可能导致信息泄露或拒绝服务。

漏洞历史记录

时间 操作 类型 旧值 新值
2025年11月28日 新增 描述 Kivitendo before 3.9.2 allows XXE injection. By uploading an electronic invoice in the ZUGFeRD format, it is possible to read and exfiltrate files from the server’s filesystem.
2025年11月28日 新增 CVSS V3.1 (AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N)
2025年11月28日 新增 CWE CWE-611
2025年11月28日 新增 参考链接 https://blog.kivitendo.de/?p=1415
2025年11月28日 新增 参考链接 https://github.com/kivitendo/kivitendo-erp/blob/fd3f993fc731cbcaa5eb87d55df7c82df4df9c09/doc/changelog
2025年11月28日 新增 参考链接 https://github.com/kivitendo/kivitendo-erp/commit/1286dee72f9919166178d0cdb5f52f13b0f7d4de
2025年11月28日 新增 参考链接 https://github.com/kivitendo/kivitendo-erp/commit/f6ba56bd8d22a428534057589baace6b7bfdf2e9
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次