Blind XXE in Electronic Invoice online tools (validator.invoice-portal.de, xrechnung.rib.de)
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。用户提供了邮件内容,看起来是安全研究人员Hanno Böck发现的漏洞。 首先,我要理解文章的主要内容。文章提到在测试电子发票工具时发现了XXE和Blind XXE漏洞。这些漏洞存在于解析XML格式电子发票的在线工具中。虽然大部分工具已经修复了问题,但仍有两个工具存在漏洞,允许文件外泄。Hanno已经向相关方披露了超过90天,但问题仍未解决。 接下来,我需要提取关键信息:漏洞类型(XXE和Blind XXE)、受影响的工具(validator.invoice-portal.de和xrechnung.rib.de)、漏洞影响(文件外泄)、披露时间和未修复的情况。 然后,我要将这些信息浓缩成一段不超过100字的描述。要注意不要使用“文章内容总结”或“这篇文章”这样的开头,直接描述内容。 最后,检查语言是否简洁明了,确保所有关键点都涵盖在内,并且字数符合要求。 </think> 研究人员发现两个在线电子发票工具存在Blind XXE漏洞,可导致文件外泄。尽管已向相关方披露超过90天,但问题仍未修复。 2026-2-16 21:5:38 Author: seclists.org(查看原文) 阅读量:2 收藏
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。用户提供了邮件内容,看起来是安全研究人员Hanno Böck发现的漏洞。 首先,我要理解文章的主要内容。文章提到在测试电子发票工具时发现了XXE和Blind XXE漏洞。这些漏洞存在于解析XML格式电子发票的在线工具中。虽然大部分工具已经修复了问题,但仍有两个工具存在漏洞,允许文件外泄。Hanno已经向相关方披露了超过90天,但问题仍未解决。 接下来,我需要提取关键信息:漏洞类型(XXE和Blind XXE)、受影响的工具(validator.invoice-portal.de和xrechnung.rib.de)、漏洞影响(文件外泄)、披露时间和未修复的情况。 然后,我要将这些信息浓缩成一段不超过100字的描述。要注意不要使用“文章内容总结”或“这篇文章”这样的开头,直接描述内容。 最后,检查语言是否简洁明了,确保所有关键点都涵盖在内,并且字数符合要求。 </think> 研究人员发现两个在线电子发票工具存在Blind XXE漏洞,可导致文件外泄。尽管已向相关方披露超过90天,但问题仍未修复。 2026-2-16 21:5:38 Author: seclists.org(查看原文) 阅读量:2 收藏
Full Disclosure mailing list archives
From: Hanno Böck <hanno () hboeck de>
Date: Mon, 16 Feb 2026 10:48:05 +0100
During tests of electronic invoicing tools, I discovered multiple XXE and Blind XXE vulnerabilities in online tools parsing electronic invoices in XML formats. While most of the affected tools have fixed these vulnerabilities, two online tools remain vulnerable to Blind XXE attacks, allowing exfiltration of files. Disclosure to the affected operators happened more than 90 days ago. Vulnerable tools: https://validator.invoice-portal.de/ https://xrechnung.rib.de/ (only the visualization tool) In both cases, uploading an invoice with a blind XXE payload leads to HTTP requests to the attacker's server and exfiltrates file content. Proof of concepts, e.g., to exfiltrate /etc/hostname (ciibxxehostname.xml), can be found here: https://github.com/hannob/invoicesec Timeline validator.invoice-portal.de: 2025-11-17 Informed support contact about Blind XXE vulnerability, no reply 2026-02-16 Still vulnerable, public disclosure Timeline xrechnung.rib.de: 2025-10-29 Reported "standard" XXE via contact form, no reply 2025-11-18 Re-test, incomplete fix: "Standard" XXE fixed, Blind XXE still possible 2025-11-18 Re-reported incomplete fix, no reply 2026-02-16 Still vulnerable, public disclosure This was part of a larger research effort about the security of EU electronic invoices: https://invoice.secvuln.info/ -- Hanno Böck - Independent security researcher https://itsec.hboeck.de/ https://badkeys.info/ _______________________________________________ Sent through the Full Disclosure mailing list https://nmap.org/mailman/listinfo/fulldisclosure Web Archives & RSS: https://seclists.org/fulldisclosure/
Current thread:
- Blind XXE in Electronic Invoice online tools (validator.invoice-portal.de, xrechnung.rib.de) Hanno Böck (Feb 16)
文章来源: https://seclists.org/fulldisclosure/2026/Feb/20
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh