CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2024-38856

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację

CVSS 9.8v3.1pub. 2024-08-05upd. 2025-10-23

Podatność klasy Incorrect Authorization (CWE-863) w Apache OFBiz umożliwia nieuwierzytelnionym atakującym zdalne wykonanie kodu renderowania ekranów. Błąd jest aktywnie wykorzystywany w atakach i otrzymał krytyczną ocenę CVSS 9.8.

Pokaż oryginał (EN)

Incorrect Authorization vulnerability in Apache OFBiz. This issue affects Apache OFBiz: through 18.12.14. Users are recommended to upgrade to version 18.12.15, which fixes the issue. Unauthenticated endpoints could allow execution of screen rendering code of screens if some preconditions are met (such as when the screen definitions don't explicitly check user's permissions because they rely on the configuration of their endpoints).

🤖 Analiza AI
Jak działa

Niektóre punkty końcowe (endpoints) Apache OFBiz nie wymagają uwierzytelnienia i przy spełnieniu określonych warunków wstępnych pozwalają na uruchomienie kodu renderowania ekranów (screen rendering code). Problem wynika z tego, że definicje ekranów nie sprawdzają jawnie uprawnień użytkownika, polegając wyłącznie na konfiguracji swoich własnych endpoints. Atakujący może spreparować odpowiednie żądanie do podatnego endpointu i doprowadzić do wykonania niezamierzonego kodu po stronie serwera bez posiadania jakichkolwiek poświadczeń.

Skutki

Nieuwierzytelniony atakujący zdalnie może wykonać kod po stronie serwera, co w konsekwencji prowadzi do pełnego naruszenia poufności, integralności oraz dostępności systemu.

Mitygacja

Należy niezwłocznie zaktualizować Apache OFBiz do wersji 18.12.15, która zawiera poprawkę eliminującą tę podatność.

Kogo dotyczy

Apache OFBiz we wszystkich wersjach do 18.12.14 włącznie.

Uwagi

Podatność znajduje się na liście CISA KEV, co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Szczegóły techniczne zostały opublikowane na liście oss-security w dniu 2024-08-04.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Ofbiz

    APP
    Apache
    < 18.12.15

CISA KEV — szczegółyi

Dostawcai
Apache
Produkti
OFBiz
Data dodania do KEVi
27 sierpnia 2024
Termin remediation (USA)i
17 września 2024(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Apache OFBiz zawiera lukę autoryzacyjną, która mogłaby umożliwić zdalne wykonanie kodu poprzez payload Groovy w kontekście procesu użytkownika OFBiz przez nieuwierzytelnionego atakującego.

tłumaczenie AI
Pokaż oryginał (EN)

Apache OFBiz contains an incorrect authorization vulnerability that could allow remote code execution via a Groovy payload in the context of the OFBiz user process by an unauthenticated attacker.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 17 września 2024
CWE
Referencje

Powiązane podatności

CVE-2024-32113CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu

CVE-2026-31986CRITICAL9.1PL ✓ten sam produkt

Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego

CVE-2026-45434CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła

CVE-2026-41919CRITICAL9.1PL ✓ten sam produkt

LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp

CVE-2025-54466CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE