https://www.datev-community.de/t5/Technisches-zu-Software/eRechnung-und-XXE-Attacken/m-p/539113#M39202 <P>Moin,</P><P>&nbsp;</P><P>nachdem dieser Beitrag zumindest knapp 2 Monate unkommentiert geblieben ist, darf man nur hoffen, dass die DATEV zumindest im Hintergrund lesend diese Thematik auf dem Schirm hat.</P><P>&nbsp;</P><P>Das Thema mit der external entity injection ist ja auch grundsätzlich nicht neu.</P><P>&nbsp;</P><P>Bleibt zu hoffen, dass die DATEV zum Parsen der Rechnungen nicht die SAXON Bibliothek nutzt. Und wenn dem so ist, sollte die DATEV das - aus Sicherheitsgründen - auch besser für sich behalten... Daher werden wir wahrscheinlich nie eine Antwort bekommen <span class="lia-unicode-emoji" title=":leicht_lächelndes_Gesicht:">🙂</span></P> Fri, 20 Feb 2026 14:55:43 GMT seb_ms 2026-02-20T14:55:43Z https://www.datev-community.de/t5/Technisches-zu-Software/eRechnung-und-XXE-Attacken/m-p/526767#M38398 <P>Mal als Hinweis:</P><P>&nbsp;</P><P>Hanno Böck hat vor ein paar Wochen einen schönen Talk zu Risiken bei eRechnungen gehalten.</P><P>&nbsp;</P><P><A href="https://media.ccc.de/v/god2025-56476-how-the-eu-created-electro#t=5" target="_blank" rel="noopener">https://media.ccc.de/v/god2025-56476-how-the-eu-created-electro#t=5</A></P><P>&nbsp;</P><P>Niedergeschrieben hier:</P><P>&nbsp;</P><P><A href="https://invoice.secvuln.info/" target="_blank" rel="noopener">https://invoice.secvuln.info/</A></P><P>&nbsp;</P><P>&nbsp;<A href="https://www.golem.de/news/zugferd-xrechnung-und-co-wie-elektronische-rechnungen-zum-sicherheitsrisiko-werden-2512-202959-4.html" target="_blank" rel="noopener">https://www.golem.de/news/zugferd-xrechnung-und-co-wie-elektronische-rechnungen-zum-sicherheitsrisiko-werden-2512-202959-4.html</A></P><P>&nbsp;</P><P>Was ich mich Frage: Hat die DATEV das auf dem Schirm?</P><P>&nbsp;</P> Fri, 12 Dec 2025 11:56:05 GMT https://www.datev-community.de/t5/Technisches-zu-Software/eRechnung-und-XXE-Attacken/m-p/526767#M38398 jafrasch 2025-12-12T11:56:05Z https://www.datev-community.de/t5/Technisches-zu-Software/eRechnung-und-XXE-Attacken/m-p/539113#M39202 <P>Moin,</P><P>&nbsp;</P><P>nachdem dieser Beitrag zumindest knapp 2 Monate unkommentiert geblieben ist, darf man nur hoffen, dass die DATEV zumindest im Hintergrund lesend diese Thematik auf dem Schirm hat.</P><P>&nbsp;</P><P>Das Thema mit der external entity injection ist ja auch grundsätzlich nicht neu.</P><P>&nbsp;</P><P>Bleibt zu hoffen, dass die DATEV zum Parsen der Rechnungen nicht die SAXON Bibliothek nutzt. Und wenn dem so ist, sollte die DATEV das - aus Sicherheitsgründen - auch besser für sich behalten... Daher werden wir wahrscheinlich nie eine Antwort bekommen <span class="lia-unicode-emoji" title=":leicht_lächelndes_Gesicht:">🙂</span></P> Fri, 20 Feb 2026 14:55:43 GMT https://www.datev-community.de/t5/Technisches-zu-Software/eRechnung-und-XXE-Attacken/m-p/539113#M39202 seb_ms 2026-02-20T14:55:43Z