CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2024-32113

Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2024-05-08upd. 2025-10-23

Krytyczna podatność typu path traversal w Apache OFBiz pozwala nieuwierzytelnionemu atakującemu na wyjście poza dozwolony katalog i dostęp do dowolnych zasobów systemu plików. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych, co czyni ją bezpośrednim zagrożeniem dla organizacji korzystających z tego systemu ERP.

Pokaż oryginał (EN)

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in Apache OFBiz.This issue affects Apache OFBiz: before 18.12.13. Users are recommended to upgrade to version 18.12.13, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej weryfikacji ścieżek dostępu do plików (CWE-22) — aplikacja nie ogranicza właściwie dostępu do katalogów, umożliwiając atakującemu skonstruowanie spreparowanego żądania HTTP zawierającego sekwencje path traversal (np. '../'). Atakujący może w ten sposób wyjść poza dozwolony katalog aplikacji i uzyskać dostęp do wrażliwych plików systemu operacyjnego lub wykonać nieautoryzowane operacje. Atak nie wymaga uwierzytelnienia, specjalnych uprawnień ani interakcji po stronie użytkownika, co odzwierciedla najwyższe wskaźniki wektora CVSS.

Skutki

Atakujący może uzyskać nieautoryzowany odczyt, zapis lub wykonanie plików poza katalogiem aplikacji, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad systemem, ujawnienia poufnych danych oraz naruszenia integralności i dostępności usługi.

Mitygacja

Należy niezwłocznie zaktualizować Apache OFBiz do wersji 18.12.13 lub nowszej, która eliminuje opisaną podatność. Pakiety dostępne są pod adresem https://ofbiz.apache.org/download.html

Kogo dotyczy

Apache OFBiz we wszystkich wersjach przed 18.12.13

Uwagi

Podatność znajduje się w rejestrze CISA KEV (Known Exploited Vulnerabilities), co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Szczegóły techniczne dostępne w zgłoszeniu OFBIZ-13006 w systemie Jira projektu Apache.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Ofbiz

    APP
    Apache
    < 18.12.13

CISA KEV — szczegółyi

Dostawcai
Apache
Produkti
OFBiz
Data dodania do KEVi
7 sierpnia 2024
Termin remediation (USA)i
28 sierpnia 2024(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Apache OFBiz zawiera lukę path traversal, która może umożliwić zdalne wykonanie kodu.

tłumaczenie AI
Pokaż oryginał (EN)

Apache OFBiz contains a path traversal vulnerability that could allow for remote code execution.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 28 sierpnia 2024
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2024-38856CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację

CVE-2026-31986CRITICAL9.1PL ✓ten sam produkt

Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego

CVE-2026-41919CRITICAL9.1PL ✓ten sam produkt

LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp

CVE-2026-45434CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła

CVE-2025-54466CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE