PT-2022-19398 · Apache · Apache Ofbiz
Mal
+1
·
Publicado
2022-09-02
·
Atualizado
2022-09-08
·
CVE-2022-29063
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache OFBiz anteriores à 18.12.06
Descrição
O plug-in Solr do Apache OFBiz está configurado para enviar automaticamente uma solicitação RMI para o localhost, na porta 1099 por padrão. Nas versões afetadas, um invasor pode explorar esse comportamento hospedando um servidor RMI malicioso no localhost para executar código arbitrário na inicialização do servidor ou em uma reinicialização do servidor.
Recomendações
Para versões anteriores à 18.12.06, atualize para pelo menos a versão 18.12.06 para resolver o problema. Como alternativa, aplique os patches disponíveis no local especificado.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Ofbiz