CRITICAL🇬🇧 English

CVE-2025-54466

Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE

CVSS 9.8v3.1pub. 2025-08-15upd. 2025-11-04

Podatność typu code injection w pluginie scrum Apache OFBiz pozwala nieuwierzytelnionym atakującym na zdalne wykonanie kodu (RCE). Ze względu na brak wymogu autoryzacji i krytyczny wynik CVSS 9.8, stanowi poważne zagrożenie dla każdej instancji korzystającej z tego pluginu.

Pokaż oryginał (EN)

Improper Control of Generation of Code ('Code Injection') vulnerability leading to a possible RCE in Apache OFBiz scrum plugin. This issue affects Apache OFBiz: before 24.09.02 only when the scrum plugin is used. Even unauthenticated attackers can exploit this vulnerability. Users are recommended to upgrade to version 24.09.02, which fixes the issue.

🤖 Analiza AI
Jak działa

Błąd polega na niewłaściwej kontroli generowania kodu (CWE-94), co umożliwia wstrzyknięcie i wykonanie złośliwego kodu po stronie serwera. Podatność jest dostępna sieciowo bez konieczności uwierzytelnienia, a jej wykorzystanie nie wymaga żadnej interakcji ze strony użytkownika. Luka dotyczy wyłącznie instalacji, w których aktywny jest plugin scrum.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — naruszyć poufność, integralność i dostępność systemu, co w praktyce oznacza możliwość przejęcia danych, modyfikacji zasobów lub całkowitego unieruchomienia aplikacji.

Mitygacja

Należy niezwłocznie zaktualizować Apache OFBiz do wersji 24.09.02 lub nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, należy rozważyć wyłączenie pluginu scrum do czasu zastosowania patcha.

Kogo dotyczy

Apache OFBiz w wersjach wcześniejszych niż 24.09.02, wyłącznie gdy aktywny jest plugin scrum.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Ofbiz

    APP
    Apache
    < 24.09.02
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-38856CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację

CVE-2024-32113CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu

CVE-2026-41919CRITICAL9.1PL ✓ten sam produkt

LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp

CVE-2026-31986CRITICAL9.1PL ✓ten sam produkt

Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego

CVE-2026-45434CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła