Apache OFBiz behebt neuen kritischen Fehler

Apache geht auf die Jagd nach eigenen Fehler und macht fette Beute.

monticello – shutterstock.com

Eine neue Sicherheitslücke in Apache OFBiz, einem Java-basierten ERP-Framework für Geschäftsprozesse wie Buchhaltung und E-Commerce, ermöglicht es Angreifern, zuvor für drei kritische RCE-Schwachstellen eingesetzte Patches zu umgehen.

Um zu verhindern, dass die alten Patches selbst ausgenutzt werden können, haben die Entwickler kürzlich einen neuen Patch veröffentlicht, der diese kritische Schwachstelle behebt. Sie gehen zusätzlich davon aus, dass das Risiko eines tatsächlichen Angriffs weiterhin hoch ist. Daher empfehlen sie eine schnelle Installation des Patches 18.12.16, welcher auch einen Fix für ein Server-seitiges Request Forgery (SSRF) Problem CVE-2024-45507 enthält.

Entdeckung durch Externe

Entdeckt wurde die Sicherheitslücke mit der Bezeichnung CVE-2024-45195 von Ryan Emmons, einem Forscher der US-amerikanischen IT-Sicherheitsplattform Rapid7, entdeckt. Er fand heraus, dass Angreifer ohne gültige Anmeldeinformationen fehlende Berechtigungsprüfungen in der Webanwendung ausnutzen können.