Podatność nieprawidłowego uwierzytelniania (CWE-287) w Apache OFBiz pozwala nieuwierzytelnionemu atakującemu na zdalne obejście mechanizmów autoryzacji i wykonanie dowolnego kodu. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z braku wymagań dotyczących uwierzytelnienia, interakcji użytkownika czy specjalnych uprawnień.
▸ Pokaż oryginał (EN)
Improper Authentication vulnerability in Apache OFBiz via Password-Change Logic Flaw Leading to Remote Code Execution This issue affects Apache OFBiz: before 24.09.06. Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Błąd tkwi w logice obsługi zmiany hasła w Apache OFBiz — nieprawidłowa implementacja procesu uwierzytelniania umożliwia ominięcie weryfikacji tożsamości użytkownika. Atakujący zdalnie, bez posiadania konta ani żadnych uprawnień, może wykorzystać tę lukę do uzyskania nieautoryzowanego dostępu do aplikacji. W konsekwencji możliwe jest wykonanie zdalnego kodu (RCE) na serwerze, na którym działa aplikacja.
Atakujący może uzyskać pełną kontrolę nad systemem — od nieautoryzowanego dostępu do danych, przez ich modyfikację i usunięcie, aż po wykonanie dowolnego kodu na serwerze (RCE), co zagraża poufności, integralności i dostępności systemu.
Należy niezwłocznie zaktualizować Apache OFBiz do wersji 24.09.06 lub nowszej, która zawiera poprawkę eliminującą opisaną podatność.
Apache OFBiz we wszystkich wersjach wcześniejszych niż 24.09.06
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Ofbiz
APPApache< 24.09.06
Powiązane podatności
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację
Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu
LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp
Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego
Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE