Krytyczna podatność typu path traversal w Apache OFBiz pozwala nieuwierzytelnionemu atakującemu na wyjście poza dozwolony katalog i dostęp do dowolnych zasobów systemu plików. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych, co czyni ją bezpośrednim zagrożeniem dla organizacji korzystających z tego systemu ERP.
▸ Pokaż oryginał (EN)
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in Apache OFBiz.This issue affects Apache OFBiz: before 18.12.13. Users are recommended to upgrade to version 18.12.13, which fixes the issue.
Podatność wynika z nieprawidłowej weryfikacji ścieżek dostępu do plików (CWE-22) — aplikacja nie ogranicza właściwie dostępu do katalogów, umożliwiając atakującemu skonstruowanie spreparowanego żądania HTTP zawierającego sekwencje path traversal (np. '../'). Atakujący może w ten sposób wyjść poza dozwolony katalog aplikacji i uzyskać dostęp do wrażliwych plików systemu operacyjnego lub wykonać nieautoryzowane operacje. Atak nie wymaga uwierzytelnienia, specjalnych uprawnień ani interakcji po stronie użytkownika, co odzwierciedla najwyższe wskaźniki wektora CVSS.
Atakujący może uzyskać nieautoryzowany odczyt, zapis lub wykonanie plików poza katalogiem aplikacji, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad systemem, ujawnienia poufnych danych oraz naruszenia integralności i dostępności usługi.
Należy niezwłocznie zaktualizować Apache OFBiz do wersji 18.12.13 lub nowszej, która eliminuje opisaną podatność. Pakiety dostępne są pod adresem https://ofbiz.apache.org/download.html
Apache OFBiz we wszystkich wersjach przed 18.12.13
Podatność znajduje się w rejestrze CISA KEV (Known Exploited Vulnerabilities), co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Szczegóły techniczne dostępne w zgłoszeniu OFBIZ-13006 w systemie Jira projektu Apache.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Ofbiz
APPApache< 18.12.13
CISA KEV — szczegółyi
- Dostawcai
- Apache ↗
- Produkti
- OFBiz
- Data dodania do KEVi
- 7 sierpnia 2024
- Termin remediation (USA)i
- 28 sierpnia 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Apache OFBiz zawiera lukę path traversal, która może umożliwić zdalne wykonanie kodu.
▸ Pokaż oryginał (EN)
Apache OFBiz contains a path traversal vulnerability that could allow for remote code execution.
Powiązane podatności
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację
Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego
LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp
Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła
Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE