Kritische Sicherheitslücke in Apache OFBiz

09.08.2024 - Warnmeldung

Die CSBW warnt vor einer kritischen Schwachstelle im Enterprise-Resource-Planning-System (ERP) Apache OFBiz. Das Entwickler-Team stellt ein sicheres Update bereit.

Proof-of-Concept veröffentlicht und Lücke behoben

Das Bundesamt für Sicherheit in der Informationstechnik publizierte am 5. August 2024 eine Schwachstellenmeldung zur Sicherheitslücke CVE-2024-38856 in der ERP-Software Apache OFBiz. CVE-2024-38856 hat einen CVSS-Score von 9.8/10 und ermöglicht Angreifenden Remote Code Execution (RCE) herbeizuführen.

Am 7. August 2024 stellte ein Sicherheitsforscher ein Proof-of-Concept (PoC) zu CVE-2024-38856 auf GitHub. Das PoC erhöht die Bedrohung, die von der Schwachstelle ausgeht.

Mit der Apache-OFBiz-Version 18.12.15 schloss das Entwickler-Team die Sicherheitslücke. Das BSI empfiehlt Nutzenden, ihre Version der ERP-Software umgehend auf 18.12.15 zu aktualisieren.

Weitere Informationen

BSI: Schwachstellenmeldung zu CVE-2024-38856
Bericht von Securityweek (engl.)
PoC auf GitHub zu CVE-2024-38856 (engl.)
Bericht von Securityonline zum PoC (engl.)