OFBiz

Die Schwachstelle betrifft Apache OFBiz, ein quelloffenes System zur Unternehmenssteuerung, das unter anderem Warenwirtschaft, Bestellabwicklung und Buchhaltung abdeckt. Es handelt sich um einen Path-Traversal-Fehler: Die Anwendung schränkt einen übergebenen Pfad nicht ausreichend auf das vorgesehene Verzeichnis ein. Dadurch kann ein Angreifer mit präparierten Pfadangaben aus dem zulässigen Bereich ausbrechen und auf Dateien oder Ressourcen außerhalb des freigegebenen Verzeichnisses zugreifen. In der Folge lässt sich der Fehler so ausnutzen, dass aus der Ferne beliebiger Programmcode auf dem betroffenen Server ausgeführt werden kann. Damit erlangt der Angreifer Kontrolle über die Anwendung und potenziell über das darunterliegende System. Da OFBiz häufig als zentrale Geschäftsanwendung mit Web-Schnittstelle betrieben wird und damit oft erreichbar ist, ist der Angriffsweg besonders exponiert und betrifft die im Hintergrund verarbeiteten Geschäftsdaten unmittelbar.