Path Traversal Schwachstelle in Apache OFBiz entdeckt

Eine kritische Path Traversal-Vulnerabilität wurde in Apache OFBiz bis einschließlich Version 18.12.13 entdeckt und als CVE-2024-36104 klassifiziert. Diese Sicherheitslücke betrifft einen unbekannten Code und kann zu schwerwiegenden Folgen führen. Apache OFBiz ist ein weitverbreitetes Open Source Enterprise Ressource Planing Framework, dass über umfangreiche Funktionen wie CRM, Produkt Management und Supply Chain Management verfügt.

Die Sicherheitslücke entsteht durch die Manipulation eines unbekannten Eingabewerts, der zur Konstruktion eines Dateinamen verwendet wird. Apache OFBiz verwendet diesen Dateinamen, um auf eine Datei oder einen Ordner zuzugreifen, der sich unterhalb eines geschützten Verzeichnisses befindet. Die Software überprüft jedoch nicht ausreichend, ob der Eingabewert spezielle Elemente enthält, die dazu führen können, dass der Dateiname außerhalb des geschützten Verzeichnisses aufgelöst wird. Dies stellt eine Path Traversal-Vulnerabilität dar, die durch den CWE-Code CWE-22 definiert wird.

Diese Sicherheitslücke kann die Vertraulichkeit, Integrität und Verfügbarkeit von Daten beeinträchtigen. Angreifer könnten beispielsweise auf sensible Dateien zugreifen, diese verändern oder löschen.

  • Betroffene Versionen: Apache OFBiz bis einschließlich Version 18.12.13
  • Sicherheitslücke: Path Traversal (CWE-22)
  • Exploitation: Einfach, aus der Ferne möglich
  • MITRE ATT&CK: T1006
  • Öffentliche Informationen: Aktuell keine technischen Details oder Exploits verfügbar*

Es wird dringend empfohlen, Apache OFBiz so schnell wie möglich auf die Version 18.12.14 oder höher zu aktualisieren. Benutzer sollten sich außerdem über die neuesten Sicherheitshinweise informieren und ihre Systeme regelmäßig auf Sicherheitslücken überprüfen.

Related Posts

Out-of-Bounds Write in Autodesk AutoCAD, Advance Steel und Civil 3D möglich

Autodesk hat mehrere schwerwiegende Sicherheitslücken in seinen Produkten AutoCAD, Advance Steel und Civil 3D entdeckt. Diese Schwachstellen wurden am 31. Mai 2024 unter der Kennung ADSK-SA-2024-0009 veröffentlicht und können erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Systeme haben.

Read More

Welotec TK500v1 Industrie-Router - Angreifer können Systeme übernehmen

Welotec, ein führender Anbieter von industriellen Netzwerklösungen, hat zwei kritische Sicherheitslücken in seiner TK500v1-Router-Serie geschlossen. Die Schwachstellen betreffen mehrere Modelle, darunter den weit verbreiteten 4G LTE Industrial Router TK525L, der mit fünf Ethernet-Ports, RS-232, RS-485 und 4G LTE ausgestattet ist. Diese Router sind für ihre kompakte und robuste Bauweise sowie ihre vollständige Integration mit der Welotec Smart EMS und VPN Security Suite bekannt.

Read More

Sicherheitslücke in Veritas System Recovery ermöglicht willkürliche Dateierstellung

Eine Schwachstelle wurde in Veritas System Recovery Version 23.0 (23.0.2.63015) und früher entdeckt, die es einem Angreifer mit niedrig privilegiertem Windows-Benutzerkonto ermöglicht, Dateien an beliebigen Speicherorten im Dateisystem zu erstellen. Diese Schwachstelle trägt die CVE-Nummer CVE-2024-35204 und wurde mit 8.4 / 10 als hoch eingestuft.

Read More