PT-2024-5990 · Apache · Apache Ofbiz
孙相
·
Publicado
2024-08-14
·
Atualizado
2026-01-02
·
CVE-2024-45507
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache OFBiz anteriores à 18.12.16
Descrição
O problema está relacionado a uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) e controle inadequado da geração de código (“injeção de código”) no Apache OFBiz. Essa vulnerabilidade pode permitir que um invasor remoto execute um ataque SSRF. Mais de 2.700 resultados foram identificados como potencialmente afetados.
Recomendações
Para versões do Apache OFBiz anteriores à 18.12.16, atualize para a versão 18.12.16, que corrige o problema. Como solução temporária, considere restringir o acesso aos componentes vulneráveis até que um patch seja aplicado. Evite usar URLs em arquivos ao carregá-los a partir de Java ou Groovy para prevenir possíveis explorações.
Correção
RCE
SSRF
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Ofbiz