Vulnerabilities ›

CVE-2020-37082

Critical ⚡ Exploit Available

WebERP 4.15.1 Unauthenticated Database Backup File Access Vulnerability

CWE-552 — Weakness Type

                    Published: Feb 3, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

9.8

🔗 NVD Official

📄 Description (English)

webERP 4.15.1 contains an unauthenticated file access vulnerability that allows remote attackers to download database backup files without authentication. Attackers can directly access generated backup files in the companies/weberp/ directory by requesting the Backup_[timestamp].sql.gz file.

🤖 AI Executive Summary

webERP 4.15.1 allows unauthenticated remote attackers to download database backup files containing sensitive company data by directly accessing files in the companies/weberp/ directory. This critical vulnerability exposes complete database contents including customer information, financial records, and credentials without requiring any authentication.

📄 Description (Arabic)

يحتوي webERP 4.15.1 على ثغرة خطيرة تسمح بالوصول المباشر إلى ملفات النسخ الاحتياطية للقاعدة البيانات دون الحاجة إلى مصادقة. يمكن للمهاجمين تحميل ملفات Backup_[timestamp].sql.gz التي تحتوي على كامل بيانات الشركة بما فيها المعلومات المالية والعملاء. هذا يعرض جميع أسرار الشركة والبيانات الحساسة للخطر.

🤖 ملخص تنفيذي (AI)

webERP 4.15.1 يسمح للمهاجمين البعيدين بدون مصادقة بتحميل ملفات النسخ الاحتياطية للقاعدة البيانات التي تحتوي على بيانات الشركة الحساسة. يمكن الوصول مباشرة إلى ملفات قاعدة البيانات الكاملة بما فيها معلومات العملاء والسجلات المالية بدون أي تحقق من الهوية.

🤖 AI Intelligence Analysis Analyzed: Apr 12, 2026 02:18

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1040 T1005 T1020

⚖️ Saudi Risk Score (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade webERP to version 4.15.2 or later. Restrict access to the companies/weberp/ directory using web server configuration (deny public access). Implement authentication checks for all file access endpoints. Move backup files outside the web root directory. Review access logs for unauthorized backup file downloads and rotate all exposed credentials.

🔧 خطوات المعالجة (العربية)

قم بالترقية الفورية إلى webERP 4.15.2 أو أحدث. قيد الوصول إلى مجلد companies/weberp/ باستخدام إعدادات خادم الويب. طبق فحوصات المصادقة لجميع نقاط الوصول للملفات. انقل ملفات النسخ الاحتياطية خارج جذر الويب. راجع سجلات الوصول للتنزيلات غير المصرح بها وأعد تعيين جميع بيانات الاعتماد المكشوفة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 SI-4

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.13.1.1

🔗 References & Sources 4

🔗

http://www.weberp.org

disclosure@vulncheck.com

Product

🔗

https://sourceforge.net/projects/web-erp/

disclosure@vulncheck.com

Product

🔗

https://www.exploit-db.com/exploits/48420

disclosure@vulncheck.com

Exploit

🔗

https://www.vulncheck.com/advisories/weberp-unauthenticated-backup-file-access

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

weberp:weberp:4.15.1

📊 CVSS Score

9.8

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity Critical

CVSS Score9.8

CWECWE-552

EPSS0.18%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-02-03

Source Feed nvd

🇸🇦 Saudi Risk Score

10.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

exploit-available CWE-552

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2020-37082

Introduce Yourself

Sign In Required