CVE-2024-32113

Versões do Apache OFBiz anteriores à 18.12.13

O problema está relacionado a uma limitação inadequada do nome do caminho para um diretório restrito, também conhecida como vulnerabilidade de traversal de caminho. Isso permite que um invasor remoto execute código arbitrário ao injetar uma URL especialmente criada. A vulnerabilidade já foi explorada em ataques reais, sendo um dos invasores a botnet Mirai. A exploração é relativamente simples, envolvendo a adição de um ponto-e-vírgula (;) após uma URL pública, seguida por uma URL privada que o invasor deseja acessar. Isso pode contornar a autenticação e permitir a execução de código no servidor.

Para resolver o problema, recomenda-se que os usuários atualizem para a versão 18.12.13, que corrige a falha. Como solução temporária, considere restringir o acesso a pontos de extremidade de API vulneráveis, como /webtools/control/forgotPassword, para minimizar o risco de exploração. Além disso, evite usar URLs especialmente criadas que possam ser utilizadas para explorar a vulnerabilidade de traversal de caminho.