OFBiz

Die Schwachstelle betrifft die Open-Source-Geschäftssoftware OFBiz von Apache, eine Plattform für betriebswirtschaftliche Anwendungen wie Warenwirtschaft und E-Commerce. Es handelt sich um eine Schwäche der Zugriffskontrolle, die als „Forced Browsing“ bezeichnet wird: Ein Angreifer ruft gezielt interne Adressen der Anwendung direkt auf, anstatt dem vorgesehenen, abgesicherten Navigationsweg zu folgen. Weil die betroffenen Funktionen die Berechtigung des Aufrufenden nicht ausreichend prüfen, gelangt er so an Bereiche oder Daten, die eigentlich geschützt sein sollten. Der Angriff lässt sich aus der Ferne durchführen und verschafft dem Angreifer unautorisierten Zugriff, ohne dass er den regulären Schutzmechanismus überwinden muss. Betroffen sind Installationen der Software, deren Oberfläche über das Netzwerk erreichbar ist – insbesondere dort, wo OFBiz als webbasierte Anwendung im Internet bereitgestellt wird.