Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08772

Опубликовано: 05 дек. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольный код

Вендор

Apache Software Foundation

Наименование ПО

OFBiz

Версия ПО

до 18.12.10 (OFBiz)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимостей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа.
Использование рекомендаций производителя:
https://lists.apache.org/thread/jmbqk2lp4t4483whzndp5xqlq4f3otg3
https://ofbiz.apache.org/download.html
https://ofbiz.apache.org/release-notes-18.12.10.html
https://ofbiz.apache.org/security.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.9396
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-49070

CVSS3: 9.8
nvd
около 2 лет назад

Pre-auth RCE in Apache Ofbiz 18.12.09. It's due to XML-RPC no longer maintained still present. This issue affects Apache OFBiz: before 18.12.10.  Users are recommended to upgrade to version 18.12.10

github логотип

GHSA-9rm6-p86c-42xm

CVSS3: 9.8
github
около 2 лет назад

Pre-auth RCE in Apache Ofbiz 18.12.09. It's due to XML-RPC no longer maintained still present. This issue affects Apache OFBiz: before 18.12.10.  Users are recommended to upgrade to version 18.12.10

EPSS

Процентиль: 100%
0.9396
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2