PT-2024-8602 · Apache · Apache Ofbiz
Marimoo.Eth
+2
·
Publicado
2024-11-16
·
Atualizado
2024-11-21
·
CVE-2024-48962
CVSS v4.0
8.9
Alta
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:N/R:U/V:C/RE:H/U:Amber |
Nome do software vulnerável e versões afetadas
Versões do Apache OFBiz anteriores à 18.12.17
Descrição
O problema está relacionado ao controle inadequado da geração de código, permitindo a injeção de código, e envolve também falsificação de solicitação entre sites (CSRF) e neutralização inadequada de elementos especiais utilizados em um mecanismo de modelos. Isso poderia permitir que um invasor remoto realizasse um ataque de falsificação de solicitação do lado do servidor (SSRF).
Recomendações
Para versões anteriores à 18.12.17, atualize para a versão 18.12.17 para corrigir o problema. Como solução temporária, considere restringir o acesso aos componentes vulneráveis até que a atualização possa ser aplicada.
Correção
Code Injection
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Ofbiz