CRITICAL🇬🇧 English

CVE-2026-45434

Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła

CVSS 9.8v3.1pub. 2026-05-19upd. 2026-05-20

Podatność nieprawidłowego uwierzytelniania (CWE-287) w Apache OFBiz pozwala nieuwierzytelnionemu atakującemu na zdalne obejście mechanizmów autoryzacji i wykonanie dowolnego kodu. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z braku wymagań dotyczących uwierzytelnienia, interakcji użytkownika czy specjalnych uprawnień.

Pokaż oryginał (EN)

Improper Authentication vulnerability in Apache OFBiz via Password-Change Logic Flaw Leading to Remote Code Execution This issue affects Apache OFBiz: before 24.09.06. Users are recommended to upgrade to version 24.09.06, which fixes the issue.

🤖 Analiza AI
Jak działa

Błąd tkwi w logice obsługi zmiany hasła w Apache OFBiz — nieprawidłowa implementacja procesu uwierzytelniania umożliwia ominięcie weryfikacji tożsamości użytkownika. Atakujący zdalnie, bez posiadania konta ani żadnych uprawnień, może wykorzystać tę lukę do uzyskania nieautoryzowanego dostępu do aplikacji. W konsekwencji możliwe jest wykonanie zdalnego kodu (RCE) na serwerze, na którym działa aplikacja.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem — od nieautoryzowanego dostępu do danych, przez ich modyfikację i usunięcie, aż po wykonanie dowolnego kodu na serwerze (RCE), co zagraża poufności, integralności i dostępności systemu.

Mitygacja

Należy niezwłocznie zaktualizować Apache OFBiz do wersji 24.09.06 lub nowszej, która zawiera poprawkę eliminującą opisaną podatność.

Kogo dotyczy

Apache OFBiz we wszystkich wersjach wcześniejszych niż 24.09.06

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Ofbiz

    APP
    Apache
    < 24.09.06
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-38856CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację

CVE-2024-32113CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu

CVE-2026-41919CRITICAL9.1PL ✓ten sam produkt

LDAP Injection w Apache OFBiz umożliwiający nieautoryzowany dostęp

CVE-2026-31986CRITICAL9.1PL ✓ten sam produkt

Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego

CVE-2025-54466CRITICAL9.8PL ✓ten sam produkt

Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE