VDB-300735 · CVE-2025-2715 · GCVE-100-300735

timschofield webERP até 5.0.0.rc+13 Confirm Dispatch and Invoice Page ConfirmDispatch_Invoice.php Narrative Script de Site Cruzado

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
3.3	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade, que foi classificada como problemático, foi encontrada em timschofield webERP até 5.0.0.rc+13. Afetado é uma função desconhecida do arquivo ConfirmDispatch_Invoice.php do componente Confirm Dispatch and Invoice Page. A manipulação do argumento Narrative com uma entrada desconhecida leva a Script de Site Cruzado. Esta vulnerabilidade é conhecida como CVE-2025-2715. O ataque pode ser levado a cabo através da rede. Além disso, existe um exploit disponível. Recomenda-se aplicar um patch para corrigir este problema.

Detalhesinformação

Uma vulnerabilidade, que foi classificada como problemático, foi encontrada em timschofield webERP até 5.0.0.rc+13. Afetado é uma função desconhecida do arquivo ConfirmDispatch_Invoice.php do componente Confirm Dispatch and Invoice Page. A manipulação do argumento Narrative com uma entrada desconhecida leva a Script de Site Cruzado. Usar a CWE para declarar o problema leva à CWE-79. A fraqueza foi publicada. O comunicado está disponível para download em github.com.

Esta vulnerabilidade é conhecida como CVE-2025-2715. O ataque pode ser levado a cabo através da rede. Detalhes técnicos estão disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Além disso, existe um exploit disponível. O exploit foi divulgado ao público e pode ser utilizado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. A técnica de ataque utilizada por esta edição é T1059.007 de acordo com MITRE ATT&CK.

É declarado como prova de conceito. É possível descarregar a exploração em github.com.

A correção está pronta para download em github.com. Recomenda-se aplicar um patch para corrigir este problema. A vulnerabilidade será abordada com as seguintes linhas de código:

$Narrative = str_replace("\r\n", '<br />', htmlspecialchars($LnItm->Narrative, ENT_QUOTES, 'UTF-8'));

Produtoinformação

Tipo

Enterprise Resource Planning Software

Fabricante

timschofield

Nome

webERP

Versão

5.0.0.rc+13

CPE 2.3informação

🔍

CPE 2.2informação

🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vetor: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 3.5
VulDB Meta Pontuação Temporária: 3.3

VulDB Pontuação Base: 3.5
VulDB Pontuação Temporária: 3.2
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CNA Pontuação Base: 3.5
CNA Vetor: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Script de Site Cruzado
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍