CSIRT Toscana Sanata vulnerabilità in Apache OFBiz (AL02/240805/CSIRT-ITA) – Aggiornamento
Data:
17 Settembre 2024 10:40
Data di creazione: 05/08/2024 – 10:44
Sintesi
Apache Software Foundation ha rilasciato un aggiornamento di sicurezza per il prodotto OFBiz che sana una vulnerabilità con gravità “alta”. Tale vulnerabilità, qualora sfruttata, potrebbe consentire, in determinate condizioni, a un utente malintenzionato remoto, di manipolare l’output dello schermo sull’istanza interessata.
Note (aggiornamento del 29/08/2024): la vulnerabilità risulta essere sfruttata attivamente in rete.
Note (aggiornamento del 17/09/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (75,12/100)1.
Tipologia
- Data Manipulation
Prodotti e/o versioni affette
Apache OFBiz, versioni precedenti alla 18.12.15
Azioni di mitigazione
In linea con le dichiarazioni del vendor si raccomanda di intraprendere le azioni di mitigazione seguendo le istruzioni fornite nel bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://seclists.org/oss-sec/2024/q3/142
https://ofbiz.apache.org/security.html
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.