Apache OFBiz zawiera podatność polegającą na użyciu zakodowanego na stałe klucza kryptograficznego (CWE-321), co klasyfikuje ją jako krytyczną z wynikiem CVSS 9.1. Atakujący sieciowy bez uwierzytelnienia może potencjalnie wykorzystać znajomość tego klucza do naruszenia poufności i integralności danych.
▸ Pokaż oryginał (EN)
Use of Hard-coded Cryptographic Key vulnerability in Apache OFBiz. This issue affects Apache OFBiz: before 24.09.06. Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Podatność polega na wbudowaniu stałego klucza kryptograficznego bezpośrednio w kod źródłowy aplikacji Apache OFBiz. Ponieważ klucz jest identyczny we wszystkich instalacjach, osoba posiadająca jego znajomość (np. poprzez analizę kodu źródłowego lub wcześniejsze ujawnienia) może go wykorzystać bez potrzeby jego odgadywania. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co znacząco obniża próg wejścia dla potencjalnego napastnika.
Atakujący może uzyskać nieautoryzowany dostęp do chronionych danych (naruszenie poufności) oraz potencjalnie modyfikować dane zabezpieczone tym kluczem (naruszenie integralności). Zgodnie z wektorem CVSS podatność nie wpływa bezpośrednio na dostępność systemu.
Należy niezwłocznie zaktualizować Apache OFBiz do wersji 24.09.06 lub nowszej, która eliminuje podatność. Po aktualizacji zaleca się unieważnienie i rotację kluczy kryptograficznych oraz certyfikatów, które mogły zostać skompromitowane.
Apache OFBiz we wszystkich wersjach przed 24.09.06
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NApache Ofbiz
APPApache< 24.09.06
Powiązane podatności
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację
Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu
Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła
LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp
Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE