2024年8月6日,网上更新披露了一个Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856),Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统,请各位用户尽快安装漏洞补丁。
漏洞风险:该漏洞存在于Apache OFBiz软件中,允许未经过身份验证的攻击者通过未授权的端点执行屏幕渲染代码。如果屏幕定义没有明确检查用户的权限,而是依赖于其端点的配置,攻击者可能利用此漏洞执行恶意操作。
风险等级:高风险。
影响范围:
Apache OFBiz <= 18.12.14
修复建议:
用户应升级至Apache OFBiz 18.12.15版本,该版本修复了此问题。升级后,应重新审查所有屏幕定义,确保它们具有适当的权限检查,以防止未授权的代码执行。
进行安全更新方法:
https://github.com/apache/ofbiz-framework/tags
