PT-2021-2832 · Apache · Apache Ofbiz
Asd
+2
·
Publicado
2021-04-27
·
Atualizado
2024-01-02
·
CVE-2021-29200
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Apache OFBiz anteriores à 17.12.07
Descrição:
O problema está relacionado a uma deserialização insegura, permitindo que um invasor execute código arbitrário ao enviar uma solicitação especialmente criada. Isso pode ser explorado por um usuário não autenticado para realizar um ataque de execução remota de código (RCE).
Recomendações:
Para versões anteriores à 17.12.07, atualize para a versão 17.12.07 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de deserialização até que um patch seja aplicado.
Exploit
Correção
RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Ofbiz