Podatność klasy Incorrect Authorization (CWE-863) w Apache OFBiz umożliwia nieuwierzytelnionym atakującym zdalne wykonanie kodu renderowania ekranów. Błąd jest aktywnie wykorzystywany w atakach i otrzymał krytyczną ocenę CVSS 9.8.
▸ Pokaż oryginał (EN)
Incorrect Authorization vulnerability in Apache OFBiz. This issue affects Apache OFBiz: through 18.12.14. Users are recommended to upgrade to version 18.12.15, which fixes the issue. Unauthenticated endpoints could allow execution of screen rendering code of screens if some preconditions are met (such as when the screen definitions don't explicitly check user's permissions because they rely on the configuration of their endpoints).
Niektóre punkty końcowe (endpoints) Apache OFBiz nie wymagają uwierzytelnienia i przy spełnieniu określonych warunków wstępnych pozwalają na uruchomienie kodu renderowania ekranów (screen rendering code). Problem wynika z tego, że definicje ekranów nie sprawdzają jawnie uprawnień użytkownika, polegając wyłącznie na konfiguracji swoich własnych endpoints. Atakujący może spreparować odpowiednie żądanie do podatnego endpointu i doprowadzić do wykonania niezamierzonego kodu po stronie serwera bez posiadania jakichkolwiek poświadczeń.
Nieuwierzytelniony atakujący zdalnie może wykonać kod po stronie serwera, co w konsekwencji prowadzi do pełnego naruszenia poufności, integralności oraz dostępności systemu.
Należy niezwłocznie zaktualizować Apache OFBiz do wersji 18.12.15, która zawiera poprawkę eliminującą tę podatność.
Apache OFBiz we wszystkich wersjach do 18.12.14 włącznie.
Podatność znajduje się na liście CISA KEV, co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Szczegóły techniczne zostały opublikowane na liście oss-security w dniu 2024-08-04.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Ofbiz
APPApache< 18.12.15
CISA KEV — szczegółyi
- Dostawcai
- Apache ↗
- Produkti
- OFBiz
- Data dodania do KEVi
- 27 sierpnia 2024
- Termin remediation (USA)i
- 17 września 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Apache OFBiz zawiera lukę autoryzacyjną, która mogłaby umożliwić zdalne wykonanie kodu poprzez payload Groovy w kontekście procesu użytkownika OFBiz przez nieuwierzytelnionego atakującego.
▸ Pokaż oryginał (EN)
Apache OFBiz contains an incorrect authorization vulnerability that could allow remote code execution via a Groovy payload in the context of the OFBiz user process by an unauthenticated attacker.
Powiązane podatności
Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu
Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego
Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła
LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp
Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE