Synthèse
Apache Software Foundation a publié une mise à jour de sécurité pour le produit OFBiz qui corrige une vulnérabilité de gravité « élevée ». Cette vulnérabilité, si elle est exploitée, pourrait, sous certaines conditions, permettre à un attaquant distant de manipuler la sortie d’écran sur l’instance affectée.
Notes (mise à jour le 29/08/2024) : La vulnérabilité semble être activement exploitée en ligne.
Notes (mise à jour le 17/09/2024) : un Proof of Concept (PoC) pour exploiter la vulnérabilité est disponible en ligne.
Risque (Mise à jour du 29/08/2024)
Impact estimé de la vulnérabilité sur la communauté de référence : SERIOUS/RED (75.12/100)1.
Typologie
- Data Manipulation
Produits et/ou versions concernés
Apache OFBiz, versions antérieures au 18.12.15
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé de prendre des mesures d’atténuation en suivant les instructions fournies dans le bulletin de sécurité rapporté dans la section Références.
Identificateurs de vulnérabilité uniques
Références
https://seclists.org/oss-sec/2024/q3/142
https://ofbiz.apache.org/security.html
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.