Krytyczna luka w Apache OFBiz umożliwiająca zdalne wykonanie kodu
Luka w Apache OFBiz umożliwia zdalne wykonanie kodu. Zalecana aktualizacja do wersji 24.09.06 w celu zabezpieczenia systemu.
- CVSS
- 9.8 CRITICAL
- EPSS
- 97.46%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- ofbiz
Co wiadomo
W Apache OFBiz wykryto poważną lukę w mechanizmie zmiany hasła, która pozwala na nieprawidłową autoryzację i zdalne wykonanie kodu. Luka dotyczy wersji przed 24.09.06 i została oceniona na 9.8 w skali CVSS.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla systemów korzystających z Apache OFBiz, umożliwiając atakującym przejęcie kontroli nad aplikacją i potencjalnie całym środowiskiem IT. Może to prowadzić do utraty danych, przerw w działaniu usług oraz naruszenia bezpieczeństwa infrastruktury.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Apache OFBiz do wersji 24.09.06 lub nowszej, która zawiera poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do interfejsów zmiany hasła, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.