Kritische Sicherheitslücke bedroht Unternehmenssoftware Apache OFBiz
Angreifer können Systeme mit Apache OFBiz attackieren und eigenen Code ausführen. Eine dagegen abgesicherte Version steht zum Download bereit.
(Bild: Artur Szczybylo/Shutterstock.com)
Unter bestimmten Umständen können Angreifer eine als „kritisch“ eingestufte Sicherheitslücke in Apache OFBiz ausnutzen.
OFBiz ist Open Source. Die "Enterprise Resource Planning"-Software (ERP) hilft unter anderem bei der Automatisierung von Unternehmensprozessen.
Kritische Lücke
Die Entwickler listen im Sicherheitsbereich ihrer Website auf, dass die Schwachstelle in der Version 18.12.15 geschlossen ist. Alle vorigen Ausgaben sollen verwundbar sein. Derzeit gibt es kaum Informationen zur Lücke (CVE-2024-38856). Aus einem Seclists-Beitrag geht hervor, dass es zu Fehlern bei der Authentifizierung kommen kann, sodass Angreifer eigenen Code ausführen können.
Aufgrund der kritischen Einstufung ist davon auszugehen, dass Systeme nach Schadcode-Attacken als vollständig kompromittiert gelten. Ob es bereits Attacken gibt, ist derzeit nicht bekannt.
(des)
