OFBiz

Die Schwachstelle betrifft Apache OFBiz, eine quelloffene Unternehmenssoftware für Geschäftsprozesse wie Warenwirtschaft, Buchhaltung und E-Commerce. Es handelt sich um einen Fehler in der Berechtigungsprüfung: Bestimmte Endpunkte sind so konfiguriert, dass sie ohne Anmeldung erreichbar sind. Verlassen sich die zugehörigen Bildschirmdefinitionen darauf, dass die Berechtigung allein über diese Endpunkt-Konfiguration geregelt wird, und prüfen sie die Rechte des Nutzers nicht selbst, kann unter bestimmten Voraussetzungen Code zur Bildschirmdarstellung ausgeführt werden, der eigentlich geschützt sein sollte. In der Folge lässt sich der Fehler so ausnutzen, dass ein nicht angemeldeter Angreifer aus der Ferne eigenen Programmcode – etwa eine Groovy-Anweisung – einschleust und im Kontext des OFBiz-Prozesses ausführt. Damit erlangt er die Möglichkeit, Befehle auf dem Server mit den Rechten der Anwendung auszuführen. Betroffen sind Installationen, bei denen solche ungeschützten Endpunkte erreichbar sind.