Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Apache OfBiz: Schwachstelle ermöglicht Codeschmuggel

Eine aktualisierte Version der ERP-Software Apache OfBiz schließt Sicherheitslecks, die das Ausführen von Schadcode ermöglichen.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Server in der MItte, Verbindungen zu darum herumstehenden Clients, VerschlĂĽsselungssymbole

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von

In der Enterprise-Resource-Planning-Software (ERP) Apache OfBiz klaffen zwei Sicherheitslücken, durch die Angreifer etwa Schadcode einschleusen können. Eine aktualisierte Softwareversion bessert die Schwachstellen aus.

Eine Einordnung als kritisches Risiko verpasst die schwerwiegendere Sicherheitslücke nur äußerst knapp. Laut Kurzbeschreibung können Angreifer die Same-Site-Bechränkungen umgehen und mit URL-Parametern auf andere Ziele umleiten. Das Problem basiert auf der unzureichenden Kontrolle von generiertem Code in Verbindung mit einer Cross-Site-Request-Forgery (CSRF) sowie einer unzureichenden Filterung von Elementen in der Template-Engine von OfBiz (CVE-2024-48962, CVSS 8.9, Risiko "hoch").

Zwei Sicherheitslücken gefährden Apache OfBiz

Die SicherheitslĂĽcke mit der CVE-Nummer CVE-2024-47208 hat noch keine konkrete Einstufung nach CVSS-Skala erhalten. "URLs erlauben die Nutzung von Groovy Expressions, was zur AusfĂĽhrung von Code aus dem Netz fĂĽhrt", beschreiben die Entwickler die LĂĽcke. Die Schwachstelle stufen sie als Server-Side-Request-Forgery (SSRF) sowie unzureichende Ăśberwachung bei der Code-Generierung ("Code injection") ein und klassifizieren sie als "wichtig".

Das CERT-Bund des Bundesamts fĂĽr Sicherheit in der Informationstechnik (BSI) stuft die SicherheitslĂĽcken sogar als kritisch ein und kommt auf einen CVSS-Wert von 9.8 (Risiko kritisch). Beide Schwachstellen betreffen Apache OfBiz vor der aktuellen Version 18.12.17. Diese oder neuere Fassungen korrigieren diese sicherheitsrelevanten Fehler in der Business-Software. Die Entwickler empfehlen den Nutzern, auf diese Version zu aktualisieren.

Lesen Sie auch

Im August hatte die US-amerikanische IT-Sicherheitsbehörde CISA davor gewarnt, dass Angriffe auf Sicherheitslücken in Apache OfBiz in freier Wildbahn beobachtet wurden. Die Software steht daher offenbar auf der Liste der lohnenden Ziele von Cyberkriminellen. IT-Verantwortliche sollten das Update daher nicht auf die lange Bank schieben, sondern zeitnah anwenden.

(dmk)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten