PT-2024-5362 · Apache · Apache Ofbiz
4Ra1N
+16
·
Publicado
2024-08-04
·
Atualizado
2025-08-23
·
CVE-2024-38856
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache OFBiz até a 18.12.14
Descrição
Este problema afeta o Apache OFBiz, permitindo que terminais não autenticados executem código de renderização de telas caso sejam atendidas determinadas condições prévias, como quando as definições das telas não verificam explicitamente as permissões do usuário. A vulnerabilidade está relacionada a uma autorização incorreta e pode levar à execução remota de código. Ela está sendo ativamente explorada, e exploits de prova de conceito estão disponíveis.
Recomendações
Versões do Apache OFBiz até 18.12.14: atualize para a versão 18.12.15 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a terminais não autenticados para minimizar o risco de exploração.
Exploit
Correção
RCE
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Ofbiz