In der Enterprise-Resource-Planning-Software (ERP) Apache OfBiz klaffen zwei Sicherheitslücken, durch die Angreifer etwa Schadcode einschleusen können. Eine aktualisierte Softwareversion bessert die Schwachstellen aus.
Anzeige
Eine Einordnung als kritisches Risiko verpasst die schwerwiegendere Sicherheitslücke nur äußerst knapp. Laut Kurzbeschreibung können Angreifer die Same-Site-Bechränkungen umgehen und mit URL-Parametern auf andere Ziele umleiten. Das Problem basiert auf der unzureichenden Kontrolle von generiertem Code in Verbindung mit einer Cross-Site-Request-Forgery (CSRF) sowie einer unzureichenden Filterung von Elementen in der Template-Engine von OfBiz (CVE-2024-48962, CVSS 8.9, Risiko "hoch").
Die Sicherheitslücke mit der CVE-Nummer CVE-2024-47208 hat noch keine konkrete Einstufung nach CVSS-Skala erhalten. "URLs erlauben die Nutzung von Groovy Expressions, was zur Ausführung von Code aus dem Netz führt", beschreiben die Entwickler die Lücke. Die Schwachstelle stufen sie als Server-Side-Request-Forgery (SSRF) sowie unzureichende Überwachung bei der Code-Generierung ("Code injection") ein und klassifizieren sie als "wichtig".
Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) stuft die Sicherheitslücken sogar als kritisch ein und kommt auf einen CVSS-Wert von 9.8 (Risiko kritisch). Beide Schwachstellen betreffen Apache OfBiz vor der aktuellen Version 18.12.17. Diese oder neuere Fassungen korrigieren diese sicherheitsrelevanten Fehler in der Business-Software. Die Entwickler empfehlen den Nutzern, auf diese Version zu aktualisieren.
Im August hatte die US-amerikanische IT-Sicherheitsbehörde CISA davor gewarnt, dass Angriffe auf Sicherheitslücken in Apache OfBiz in freier Wildbahn beobachtet wurden. Die Software steht daher offenbar auf der Liste der lohnenden Ziele von Cyberkriminellen. IT-Verantwortliche sollten das Update daher nicht auf die lange Bank schieben, sondern zeitnah anwenden.
Anzeige
(
Kommentare