https://blog.qife122.com/tags/cve-2025-66370/ Recent content in CVE-2025-66370 on 办公AI智能小助手 Hugo zh-cn qife Thu, 04 Dec 2025 02:57:56 +0800 https://blog.qife122.com/p/kivitendo-erp%E7%B3%BB%E7%BB%9Fxxe%E6%BC%8F%E6%B4%9E%E8%87%B4%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%96%87%E4%BB%B6%E6%B3%84%E9%9C%B2/ Thu, 04 Dec 2025 02:57:56 +0800 https://blog.qife122.com/p/kivitendo-erp%E7%B3%BB%E7%BB%9Fxxe%E6%BC%8F%E6%B4%9E%E8%87%B4%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%96%87%E4%BB%B6%E6%B3%84%E9%9C%B2/ <h1 id="cve-2025-66370---kivitendo-xxe文件系统泄露漏洞">CVE-2025-66370 - Kivitendo XXE文件系统泄露漏洞</h1> <h2 id="概述">概述</h2> <p><strong>CVE-2025-66370</strong> 是一个存在于Kivitendo ERP软件中的安全漏洞，CVSS 3.1评分为5.0（中危）。</p> <h2 id="漏洞描述">漏洞描述</h2> <p>Kivitendo 3.9.2之前的版本存在XML外部实体注入漏洞。通过上传ZUGFeRD格式的电子发票，攻击者能够读取并外泄服务器文件系统中的文件。</p>