Podatność typu code injection w pluginie scrum Apache OFBiz pozwala nieuwierzytelnionym atakującym na zdalne wykonanie kodu (RCE). Ze względu na brak wymogu autoryzacji i krytyczny wynik CVSS 9.8, stanowi poważne zagrożenie dla każdej instancji korzystającej z tego pluginu.
▸ Pokaż oryginał (EN)
Improper Control of Generation of Code ('Code Injection') vulnerability leading to a possible RCE in Apache OFBiz scrum plugin. This issue affects Apache OFBiz: before 24.09.02 only when the scrum plugin is used. Even unauthenticated attackers can exploit this vulnerability. Users are recommended to upgrade to version 24.09.02, which fixes the issue.
Błąd polega na niewłaściwej kontroli generowania kodu (CWE-94), co umożliwia wstrzyknięcie i wykonanie złośliwego kodu po stronie serwera. Podatność jest dostępna sieciowo bez konieczności uwierzytelnienia, a jej wykorzystanie nie wymaga żadnej interakcji ze strony użytkownika. Luka dotyczy wyłącznie instalacji, w których aktywny jest plugin scrum.
Atakujący może uzyskać pełną kontrolę nad serwerem — naruszyć poufność, integralność i dostępność systemu, co w praktyce oznacza możliwość przejęcia danych, modyfikacji zasobów lub całkowitego unieruchomienia aplikacji.
Należy niezwłocznie zaktualizować Apache OFBiz do wersji 24.09.02 lub nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, należy rozważyć wyłączenie pluginu scrum do czasu zastosowania patcha.
Apache OFBiz w wersjach wcześniejszych niż 24.09.02, wyłącznie gdy aktywny jest plugin scrum.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Ofbiz
APPApache< 24.09.02
Powiązane podatności
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację
Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu
LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp
Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego
Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła