CSIRT Toscana Sanate vulnerabilità in Apache OFBiz (AL02/240904/CSIRT-ITA) – Aggiornamento
Data:
5 Febbraio 2025 08:21
Data di creazione: 04/09/2024 – 09:46
Impatto Sistemico
Medio (64.74)
Sintesi
Risolte due vulnerabilità, di cui una con gravità “alta”, nel prodotto OFBiz di Apache Software Foundation. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato l’esecuzione di codice arbitrario sui sistemi interessati e l’accesso a informazioni sensibili.
Note (aggiornamento del 14/10/2024): un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-45507 risulta disponibile in rete.
Note (aggiornamento del 05/02/2025) : la CVE-2024-45195 risulta essere sfruttata attivamente in rete.
Tipologia
- Arbitrary Code Execution
- Information Disclosure
Prodotti e/o versioni affette
Apache OFBiz, versioni precedenti alla 18.12.16
Azioni di mitigazione
In linea con le dichiarazioni del vendor si raccomanda di intraprendere le azioni di mitigazione seguendo le istruzioni fornite nel bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
- https://lists.apache.org/thread/9jh9r4xxvd2rohm9bhgyk5rb4gkshlh6
- https://lists.apache.org/thread/hsnccj2c9g0g9l6jn8gv2pwm3qpjlhn9
CVE
| CVE-ID | |
|---|---|
| CVE-2024-45195 | CVE-2024-45507 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.1 | Aggiunta CVE sfuttatta ITW. | 05/02/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link