← voltar
CVE-2025-66370

CVE-2025-66370

CVSS 5 MEDIUMEPSS 0.3%CWE-611
Vexday Risk Score
13Baixo
Decisão SSVC (CISA)
Track
Sem sinal de exploração → monitorar
CVSS 5EPSS 0.3%KEV nãoPoC Nuclei Metasploit Patch
Ciclo de vida
28 nov 2025Publicada no NVD
Recomendação: Monitorar — sem sinal de exploração no momento.
Kivitendo before 3.9.2 allows XXE injection. By uploading an electronic invoice in the ZUGFeRD format, it is possible to read and exfiltrate files from the server's filesystem.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
Produtos afetados
kivitendo · kivitendo

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://blog.kivitendo.de/?p=1415https://github.com/kivitendo/kivitendo-erp/blob/fd3f993fc731cbcaa5eb87d55df7c82df4df9c09/doc/changeloghttps://github.com/kivitendo/kivitendo-erp/commit/1286dee72f9919166178d0cdb5f52f13b0f7d4dehttps://github.com/kivitendo/kivitendo-erp/commit/f6ba56bd8d22a428534057589baace6b7bfdf2e9https://invoice.secvuln.info