Krytyczna luka w Apache OFBiz umożliwiająca zdalne wykonanie kodu

Luka w Apache OFBiz umożliwia zdalne wykonanie kodu. Zalecana aktualizacja do wersji 24.09.06 w celu zabezpieczenia systemu.
CVE-2026-45434CVSS 9.8Web

Krytyczna luka w Apache OFBiz umożliwiająca zdalne wykonanie kodu

Luka w Apache OFBiz umożliwia zdalne wykonanie kodu. Zalecana aktualizacja do wersji 24.09.06 w celu zabezpieczenia systemu.

CVSS
9.8 CRITICAL
EPSS
97.46%
Aktywnie wykorzystywana
brak w KEV
Produkt
ofbiz

Co wiadomo

W Apache OFBiz wykryto poważną lukę w mechanizmie zmiany hasła, która pozwala na nieprawidłową autoryzację i zdalne wykonanie kodu. Luka dotyczy wersji przed 24.09.06 i została oceniona na 9.8 w skali CVSS.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla systemów korzystających z Apache OFBiz, umożliwiając atakującym przejęcie kontroli nad aplikacją i potencjalnie całym środowiskiem IT. Może to prowadzić do utraty danych, przerw w działaniu usług oraz naruszenia bezpieczeństwa infrastruktury.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Apache OFBiz do wersji 24.09.06 lub nowszej, która zawiera poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do interfejsów zmiany hasła, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.

Źródła