webERP 4.15.1 contains an unauthenticated file access vulnerability that allows remote attackers to download database backup files without authentication. Attackers can directly access generated backup files in the companies/weberp/ directory by requesting the Backup_[timestamp].sql.gz file.
webERP 4.15.1 allows unauthenticated remote attackers to download database backup files containing sensitive company data by directly accessing files in the companies/weberp/ directory. This critical vulnerability exposes complete database contents including customer information, financial records, and credentials without requiring any authentication.
يحتوي webERP 4.15.1 على ثغرة خطيرة تسمح بالوصول المباشر إلى ملفات النسخ الاحتياطية للقاعدة البيانات دون الحاجة إلى مصادقة. يمكن للمهاجمين تحميل ملفات Backup_[timestamp].sql.gz التي تحتوي على كامل بيانات الشركة بما فيها المعلومات المالية والعملاء. هذا يعرض جميع أسرار الشركة والبيانات الحساسة للخطر.
webERP 4.15.1 يسمح للمهاجمين البعيدين بدون مصادقة بتحميل ملفات النسخ الاحتياطية للقاعدة البيانات التي تحتوي على بيانات الشركة الحساسة. يمكن الوصول مباشرة إلى ملفات قاعدة البيانات الكاملة بما فيها معلومات العملاء والسجلات المالية بدون أي تحقق من الهوية.
Immediately upgrade webERP to version 4.15.2 or later. Restrict access to the companies/weberp/ directory using web server configuration (deny public access). Implement authentication checks for all file access endpoints. Move backup files outside the web root directory. Review access logs for unauthorized backup file downloads and rotate all exposed credentials.
قم بالترقية الفورية إلى webERP 4.15.2 أو أحدث. قيد الوصول إلى مجلد companies/weberp/ باستخدام إعدادات خادم الويب. طبق فحوصات المصادقة لجميع نقاط الوصول للملفات. انقل ملفات النسخ الاحتياطية خارج جذر الويب. راجع سجلات الوصول للتنزيلات غير المصرح بها وأعد تعيين جميع بيانات الاعتماد المكشوفة.