Sintesi
Apache Software Foundation ha rilasciato un aggiornamento di sicurezza per il prodotto OFBiz che sana una vulnerabilità con gravità “alta”. Tale vulnerabilità, qualora sfruttata, potrebbe consentire, in determinate condizioni, a un utente malintenzionato remoto, di manipolare l’output dello schermo sull’istanza interessata.
Note (aggiornamento del 29/08/2024): la CVE-2024-38856 risulta essere sfruttata attivamente in rete.
Rischio (Aggiornamento del 29/08/2024)
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (75,12/100)1.
Tipologia
- Data Manipulation
Prodotti e/o versioni affette
Apache OFBiz, versioni precedenti alla 18.12.15
Azioni di mitigazione
In linea con le dichiarazioni del vendor si raccomanda di intraprendere le azioni di mitigazione seguendo le istruzioni fornite nel bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://seclists.org/oss-sec/2024/q3/142
https://ofbiz.apache.org/security.html
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
