CVE-2024-45195
Apache OFBiz: Confused controller-view authorization logic (forced browsing)
En resumen
Apache OFBiz tiene una vulnerabilidad que permite a atacantes eludir los controles de autorización y acceder directamente a páginas restringidas sin tener los permisos necesarios.
Detalle técnico
Una vulnerabilidad de navegación forzada (forced browsing) en la lógica de autorización controller-view de Apache OFBiz (CWE-425) permite que atacantes no autenticados o sin privilegios soliciten recursos protegidos eludiendo los controles de autorización. La vulnerabilidad existe en versiones anteriores a la 18.12.16 y puede ser explotada mediante solicitudes HTTP directas a endpoints protegidos, resultando en acceso no autorizado a funcionalidades o datos sensibles.
Resumen generado y traducido por IA a partir de la descripción oficial.
Direct Request ('Forced Browsing') vulnerability in Apache OFBiz.
This issue affects Apache OFBiz: before 18.12.16.
Users are recommended to upgrade to version 18.12.16, which fixes the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Apache Software Foundation · Apache OFBizPoCs públicas encontradas — 1
githubgithub.com/wyyazjjl/CVE-2024-45195★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://issues.apache.org/jira/browse/OFBIZ-13130https://lists.apache.org/thread/o90dd9lbk1hh3t2557t2y2qvrh92p7wyhttps://ofbiz.apache.org/download.htmlhttps://ofbiz.apache.org/security.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-45195http://www.openwall.com/lists/oss-security/2024/09/03/6