Sanate vulnerabilità in Apache OFBiz (AL02/240904/CSIRT-ITA)

Data:
4 Settembre 2024 09:46

Sintesi

Risolte due vulnerabilità, di cui una con gravità “alta”, nel prodotto OFBiz di Apache Software Foundation. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato l’esecuzione di codice arbitrario sui sistemi interessati e l’accesso a informazioni sensibili.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (64,74/100)¹.

Tipologia

Arbitrary Code Execution
Information Disclosure

Prodotti e/o versioni affette

Apache OFBiz, versioni precedenti alla 18.12.16

Azioni di mitigazione

In linea con le dichiarazioni del vendor si raccomanda di intraprendere le azioni di mitigazione seguendo le istruzioni fornite nel bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-45507

CVE-2024-45195

Riferimenti

https://lists.apache.org/thread/9jh9r4xxvd2rohm9bhgyk5rb4gkshlh6

https://lists.apache.org/thread/hsnccj2c9g0g9l6jn8gv2pwm3qpjlhn9

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.

CSIRT Toscana

CSIRT Toscana