Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache OFBiz」に複数の脆弱性 - アップデートで修正

オープンソースのビジネスアプリケーションスイート「Apache OFBiz」の開発グループは、脆弱性などを修正したアップデート「同18.12.16」をリリースした。

今回のアップデートでは、機能の追加や見直しのほか、「強制ブラウジング」の脆弱性「CVE-2024-45195」や、サーバサイドリクエストフォージェリ(SSRF)によりコードの挿入が可能となる脆弱性「CVE-2024-45507」を修正した。

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、「CVE-2024-45195」に対し、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、「CVE-2024-45507」を「8.8」と評価。重要度をそれぞれ「クリティカル(Critical)」、「高(High)」とレーティングしている。

一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、「CVE-2024-45195」のCVSS基本値を「7.5」、「CVE-2024-45507」を「9.8」としており、重要度をそれぞれ「高」「クリティカル」としている。

開発チームでは、脆弱性を修正した「同18.12.16」を現地時間8月31日にリリースした。

「Apache OFBiz」に関しては、8月だけでも2件の脆弱性「CVE-2024-32113」「CVE-2024-38856」が米CISAの「悪用が確認された脆弱性カタログ(KEV)」に追加されている。あらたに見つかった脆弱性についても攻撃者の標的となるおそれがあり、注意が必要となる。

(Security NEXT - 2024/09/13 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ウェブ狙う攻撃の痕跡を検出するログ解析サービス - ビットフォレスト
個人情報含むタブレット端末が車両ごと盗難 - 稲敷市
別人の児童扶養手当証書を誤送付 - 延岡市
サーバがランサム被害、影響など調査 - ライク子会社
「Cisco NDFC」に深刻な脆弱性 - 管理下の機器でコマンド実行のおそれ
V音楽フェスの関連アカウントが乗っ取り被害 - JVCケンウッド
図書館の新システム構築中にランサム被害、移行延期 - 斑鳩町
元教授が患者情報を不正持出、開院案内などに利用 - 広大病院
債権残高を14年間にわたり誤登録、与信に影響した可能性 - クレディセゾン
コラボツール「Zimbra」に深刻な脆弱性 - すでに実証コードも