← volver
CVE-2024-38856

Apache OFBiz: Unauthenticated endpoint could allow execution of screen rendering code

CVSS 8.1 HIGHEPSS 99.4%● KEVCWE-863
En resumen

Apache OFBiz permite que usuarios no autenticados ejecuten código de renderización de pantallas en ciertos endpoints cuando las verificaciones de permisos no están explícitas. Esto podría permitir que atacantes eludan controles de seguridad y accedan a funcionalidades sensibles sin iniciar sesión.

Detalle técnico

Vulnerabilidad CWE-863 (Autorización Incorrecta) en Apache OFBiz ≤18.12.14 permite acceso no autenticado a endpoints de renderización de pantallas cuando las definiciones de pantallas carecen de validación de permisos explícita. El vector de ataque requiere acceso de red a los endpoints afectados; la explotación ocurre cuando las pantallas dependen únicamente de la configuración del endpoint para autorización. El impacto incluye ejecución de código no autorizada y posible exposición de datos o comprometimiento del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
Incorrect Authorization vulnerability in Apache OFBiz. This issue affects Apache OFBiz: through 18.12.14. Users are recommended to upgrade to version 18.12.15, which fixes the issue. Unauthenticated endpoints could allow execution of screen rendering code of screens if some preconditions are met (such as when the screen definitions don't explicitly check user's permissions because they rely on the configuration of their endpoints).
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Productos afectados
Apache Software Foundation · Apache OFBiz
PoCs públicas encontradas8
githubgithub.com/securelayer7/CVE-2024-38856_Scanner49githubgithub.com/0x20c/CVE-2024-38856-EXP9githubgithub.com/Hex00-0x4/CVE-2024-38856-Apache-OFBiz3githubgithub.com/BBD-YZZ/CVE-2024-38856-RCE3githubgithub.com/Ap0dexMe0/CVE-2024-388562githubgithub.com/emanueldosreis/CVE-2024-388561githubgithub.com/AlissonFaoli/Apache-OFBiz-Exploit1githubgithub.com/Praison001/CVE-2024-38856-ApacheOfBiz1
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://issues.apache.org/jira/browse/OFBIZ-13128https://lists.apache.org/thread/olxxjk6b13sl3wh9cmp0k2dscvp24l7whttps://ofbiz.apache.org/download.htmlhttps://ofbiz.apache.org/security.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-38856http://www.openwall.com/lists/oss-security/2024/08/04/1