CVE-2024-32113 – RCE Vulnerability in Apache OFBiz: Immediate Action Required
2024/05/12 SecurityOnline — 一般的な企業向けソフトウェア・ツール群である Apache OFBiz に、深刻なパス・トラバーサルの脆弱性 CVE-2024-32113 が発見された。この脆弱性の悪用に成功したリモートの攻撃者は、脆弱なバージョンを実行しているシステム上で、悪意のコードを実行する可能性を手にする。Apache OFBiz は、アプリケーション構築のためのフレームワークであり、ERP (enterprise resource planning)/CRM (customer relationship management) /電子商取引などで使用される。その業界を横断的する視点と柔軟性により、企業にとって人気の選択肢となっている。
この CVE-2024-32113 は、リモート・コード実行 (RCE) につながるパス・トラバーサル脆弱性として分類され、深刻度は Important と評価され、潜在的なリスクをもたらすものとされる。パス・トラバーサル脆弱性とは、対象となるソフトウェアにおいて、ファイルパスの外部入力が適切にサニタイズされない場合に発生する。その結果として、意図したディレクトリ外に保存された、ファイルへのアクセスや実行が、攻撃者に許されることになる。
Apache OFBiz の脆弱性は、パス名の制限の不十分さに起因する。この見落としを悪用する攻撃者は、本来であれば制限されるディレクトリのナビゲートや、コマンドの実行を可能するため、システムの完全性と機密性が危険にさられる。つまり、悪用に成功した攻撃者は、悪意のプログラムのインストールや、データの変更および削除だけではなく、包括的なユーザー権限を持つ新たなアカウントの作成まで可能にする。
この脆弱性は、Apache OFBiz バージョン 18.12.13 未満が稼働する、インストレーションにリスクをもたらす。すでに Apache OFBiz チームは、このパス・トラバーサル脆弱性の修正を含む、バージョン 18.12.13 をリリースしている。したがって、OFBiz を使用している企業や組織に強く推奨されるのは、このパッチが適用されたバージョンへと遅滞なくアップグレードすることだ。
ExploitDB:Apache OFBiz 18.12.12 – Directory Traversal
前回の Apache OFBiz に関するトピックは、2024/02/29 の「Apache OFBiz の脆弱性 CVE-2024-25065/CVE-2024-23946 が FIX:直ちにアップデートを!」でした。この製品に関するポストですが、それなりに PV が上がるので、国内でも需要があるのだと思っています。よろしければ、Apache OFBiz で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.