CVE-2024-45195
Apache OFBiz: Confused controller-view authorization logic (forced browsing)
Em resumo
O Apache OFBiz possui uma vulnerabilidade que permite a invasores contornar verificações de autorização e acessar páginas restritas diretamente, sem ter as permissões necessárias.
Detalhe técnico
Uma vulnerabilidade de acesso forçado (forced browsing) na lógica de autorização controller-view do Apache OFBiz (CWE-425) permite que atacantes não autenticados ou sem privilégios solicitem recursos protegidos contornando os controles de autorização. A vulnerabilidade existe em versões anteriores à 18.12.16 e pode ser explorada através de requisições HTTP diretas para endpoints protegidos, resultando em acesso não autorizado a funcionalidades ou dados sensíveis.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Direct Request ('Forced Browsing') vulnerability in Apache OFBiz.
This issue affects Apache OFBiz: before 18.12.16.
Users are recommended to upgrade to version 18.12.16, which fixes the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Apache Software Foundation · Apache OFBizPoCs públicas encontradas — 1
githubgithub.com/wyyazjjl/CVE-2024-45195★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://issues.apache.org/jira/browse/OFBIZ-13130https://lists.apache.org/thread/o90dd9lbk1hh3t2557t2y2qvrh92p7wyhttps://ofbiz.apache.org/download.htmlhttps://ofbiz.apache.org/security.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-45195http://www.openwall.com/lists/oss-security/2024/09/03/6