CRITICAL🇬🇧 English

CVE-2026-31986

Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego

CVSS 9.1v3.1pub. 2026-05-19

Apache OFBiz zawiera podatność polegającą na użyciu zakodowanego na stałe klucza kryptograficznego (CWE-321), co klasyfikuje ją jako krytyczną z wynikiem CVSS 9.1. Atakujący sieciowy bez uwierzytelnienia może potencjalnie wykorzystać znajomość tego klucza do naruszenia poufności i integralności danych.

Pokaż oryginał (EN)

Use of Hard-coded Cryptographic Key vulnerability in Apache OFBiz. This issue affects Apache OFBiz: before 24.09.06. Users are recommended to upgrade to version 24.09.06, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność polega na wbudowaniu stałego klucza kryptograficznego bezpośrednio w kod źródłowy aplikacji Apache OFBiz. Ponieważ klucz jest identyczny we wszystkich instalacjach, osoba posiadająca jego znajomość (np. poprzez analizę kodu źródłowego lub wcześniejsze ujawnienia) może go wykorzystać bez potrzeby jego odgadywania. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co znacząco obniża próg wejścia dla potencjalnego napastnika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do chronionych danych (naruszenie poufności) oraz potencjalnie modyfikować dane zabezpieczone tym kluczem (naruszenie integralności). Zgodnie z wektorem CVSS podatność nie wpływa bezpośrednio na dostępność systemu.

Mitygacja

Należy niezwłocznie zaktualizować Apache OFBiz do wersji 24.09.06 lub nowszej, która eliminuje podatność. Po aktualizacji zaleca się unieważnienie i rotację kluczy kryptograficznych oraz certyfikatów, które mogły zostać skompromitowane.

Kogo dotyczy

Apache OFBiz we wszystkich wersjach przed 24.09.06

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Ofbiz

    APP
    Apache
    < 24.09.06
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-38856CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację

CVE-2024-32113CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu

CVE-2026-45434CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła

CVE-2026-41919CRITICAL9.1PL ✓ten sam produkt

LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp

CVE-2025-54466CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE