Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-32113 – già sanata dal vendor – che interessa Apache OFBiz, suite open source per la gestione aziendale. Tale vulnerabilità, di tipo “Path Traversal”, potrebbe permettere ad un utente malevolo la possibilità di eseguire comandi arbitrari sui sistemi target.

Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Tipologia

• Arbitrary Code Execution

Prodotti e/o versioni affette

Apache OFBiz, versioni precedenti alla 18.12.13

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza, disponibile al link presente nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-32113

Riferimenti

https://lists.apache.org/thread/np8vgzr06z6cwm3tz7cs3609bdrj8526

https://ofbiz.apache.org/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.