CRITICAL🇬🇧 English

CVE-2026-41919

LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp

CVSS 9.1v3.1pub. 2026-05-19

Podatność typu LDAP Injection w Apache OFBiz pozwala nieuwierzytelnionemu atakującemu zdalnie manipulować zapytaniami LDAP. Wysoki wynik CVSS 9.1 oraz brak wymagań co do uprawnień i interakcji użytkownika czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') vulnerability in Apache OFBiz. This issue affects Apache OFBiz: before 24.09.06. Users are recommended to upgrade to version 24.09.06, which fixes the issue.

🤖 Analiza AI
Jak działa

Luka wynika z nieprawidłowej neutralizacji znaków specjalnych wykorzystywanych w zapytaniach LDAP (CWE-90). Atakujący może wstrzyknąć złośliwie spreparowane dane wejściowe, które zmodyfikują logikę zapytania LDAP wysyłanego przez aplikację. W efekcie możliwe jest ominięcie mechanizmów uwierzytelniania lub uzyskanie dostępu do danych przechowywanych w katalogu LDAP. Atak może być przeprowadzony zdalnie, przez sieć, bez konieczności posiadania jakichkolwiek uprawnień.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych (naruszenie poufności) oraz manipulować danymi w katalogu LDAP lub logice aplikacji (naruszenie integralności).

Mitygacja

Należy zaktualizować Apache OFBiz do wersji 24.09.06 lub nowszej, która zawiera poprawkę eliminującą opisaną podatność.

Kogo dotyczy

Apache OFBiz w wersjach wcześniejszych niż 24.09.06

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Ofbiz

    APP
    Apache
    < 24.09.06
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-38856CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację

CVE-2024-32113CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu

CVE-2026-45434CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła

CVE-2026-31986CRITICAL9.1PL ✓ten sam produkt

Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego

CVE-2025-54466CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE

CVE-2026-41919 — LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp — CRITICAL 9.1 | CVEbaza.pl