Kritisk sårbarhet i Apache OfBiz

Apache har åtgärdat en kritisk sårbarhet i Apache OfBiz. [1,2]

Sårbarheten CVE-2023-51467 kan utnyttjas för att kringgå autentisering och har fått CVSS-klassningen 9,8 av SonicWall som upptäckte sårbarheten. Det är även möjligt att sårbarheten kan utnyttjas för att fjärrköra kod. Sårbarheten upptäcktes när de undersökte grundorsaken till en tidigare känd sårbarhet, CVE-2023-49070. [1]

Påverkade produkter

Följande produkter är sårbara: [2]

Apache OfBiz, tidigare versioner än 18.12.11

Apache OfBiz kan integreras och utgöra en komponent i andra produkter. Det är därför möjligt att ytterligare produkter är påverkade. [1]

Rekommendationer

CERT-SE rekommenderar att uppdatera påverkade produkter så snart som möjligt [3,4]. Om din organisation tillhandahåller produkter där Apache OfBiz ingår som en komponent bör säkerhetsuppdateringar för produkterna tas fram och distribueras så snart som möjligt.

Källor

[1] https://blog.sonicwall.com/en-us/2023/12/sonicwall-discovers-critical-apache-ofbiz-zero-day-authbiz/

[2] https://lists.apache.org/thread/9tmf9qyyhgh6m052rhz7lg9vxn390bdv

[3] https://ofbiz.apache.org/release-notes-18.12.11.html

[4] https://ofbiz.apache.org/download.html