Eine kritische Path Traversal-Vulnerabilität wurde in Apache OFBiz bis einschließlich Version 18.12.13 entdeckt und als CVE-2024-36104 klassifiziert. Diese Sicherheitslücke betrifft einen unbekannten Code und kann zu schwerwiegenden Folgen führen. Apache OFBiz ist ein weitverbreitetes Open Source Enterprise Ressource Planing Framework, dass über umfangreiche Funktionen wie CRM, Produkt Management und Supply Chain Management verfügt.
Die Sicherheitslücke entsteht durch die Manipulation eines unbekannten Eingabewerts, der zur Konstruktion eines Dateinamen verwendet wird. Apache OFBiz verwendet diesen Dateinamen, um auf eine Datei oder einen Ordner zuzugreifen, der sich unterhalb eines geschützten Verzeichnisses befindet. Die Software überprüft jedoch nicht ausreichend, ob der Eingabewert spezielle Elemente enthält, die dazu führen können, dass der Dateiname außerhalb des geschützten Verzeichnisses aufgelöst wird. Dies stellt eine Path Traversal-Vulnerabilität dar, die durch den CWE-Code CWE-22 definiert wird.
Diese Sicherheitslücke kann die Vertraulichkeit, Integrität und Verfügbarkeit von Daten beeinträchtigen. Angreifer könnten beispielsweise auf sensible Dateien zugreifen, diese verändern oder löschen.
- Betroffene Versionen: Apache OFBiz bis einschließlich Version 18.12.13
- Sicherheitslücke: Path Traversal (CWE-22)
- Exploitation: Einfach, aus der Ferne möglich
- MITRE ATT&CK: T1006
- Öffentliche Informationen: Aktuell keine technischen Details oder Exploits verfügbar*
Es wird dringend empfohlen, Apache OFBiz so schnell wie möglich auf die Version 18.12.14 oder höher zu aktualisieren. Benutzer sollten sich außerdem über die neuesten Sicherheitshinweise informieren und ihre Systeme regelmäßig auf Sicherheitslücken überprüfen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: