Leading Web-Based Business Applications for The Cloud

カーネギーメロン大学の脆弱性ノートデータベース「Vulnerability Note VU#533894 - Openbravo ERP contains an information disclosure vulnerability」が、「Openbravo ERP」のバージョン2.5およびバージョン3、およびこれらよりも前のバージョンに情報漏洩の脆弱性があることを伝えた。XMLの外部エンティティの処理に問題があり、攻撃者に細工されたXMLファイルを送り込まれるとファイルシステム上に存在するファイルの中身を返してしまうという。

このセキュリティ脆弱性を悪用されると、/etc/passwdなどシステム運用に影響を与える可能性の高いファイルのデータが盗み出される可能性があり、注意が必要。情報が公開された段階でこの問題を修正する方法は発見されていないとしており、XXE (XML External Entity)の機能を無効化するなどして一時的に問題を回避することが推奨されている。

Openbrabo ERPはオープンソースソフトウェアとして開発が実施されているERPソリューション。企業システムとして利用するために必要になる多くの機能を提供しており、6,000を超える世界中の企業や組織で採用されている。利用されている業界は小売業、流通業、製造業、サービス業など多岐にわたる。