high CVSS 7.5 CWE-611 In coordinamento
XXE Injection in DeltaERP Document Import
Vendor
DeltaERP Solutions
Prodotto
DeltaERP v10.3
Data
xxessrferpenterprise
Una vulnerabilità XXE (XML External Entity) nel modulo di importazione documenti di DeltaERP consente a un utente autenticato di leggere file arbitrari dal server e di effettuare richieste SSRF verso la rete interna.
Sommario
Identificata una vulnerabilità XXE nel modulo di importazione documenti di DeltaERP v10.3.
Stato
Disclosure in corso — I dettagli tecnici completi saranno pubblicati dopo il rilascio della patch da parte del vendor. Il processo di CVD è attualmente in fase di coordinamento con il vendor e ACN / CSIRT Italia.
Impatto
- Lettura di file arbitrari dal filesystem del server
- Server-Side Request Forgery (SSRF) verso servizi interni
- Possibile esfiltrazione di credenziali e configurazioni
Timeline
| Data | Evento |
|---|---|
| 2024-12-01 | Scoperta della vulnerabilità |
| 2024-12-03 | Notifica al vendor |
| 2024-12-10 | Conferma dal vendor |
| 2025-01-20 | Advisory preliminare pubblicato |
| TBD | Rilascio patch e pubblicazione dettagli completi |
Crediti
Scoperta da Marco Sala — disclosure in coordinamento con DeltaERP Solutions e ACN / CSIRT Italia.