Kritična ranjivost u Apache OFBiz projektu
Dana 26. prosinca 2023. godine, ovlašteno osoblje projekta Apache OFBiz izdalo je sigurnosnu obavijest za ažuriranje koje otklanja kritičnu ranjivost u Apache OFBiz. Ranjivost je identificirana kao CVE-2023-51467 s CVSS ocjenom 9.8 i može omogućiti napadaču zaobilazak autentifikacije kako bi postigao Server-Side Request Forgery (SSRF) napad. Uspješno iskorištavanje može rezultirati udaljenim izvršenjem kôda (engl. remote code execution - RCE).
Zahvaćeni proizvodi:
Ova ranjivost zahvaća sve verzije Apache OFBiz starije od verzije 18.12.11.
Preporuke:
Preporuča se žurno ažuriranje zahvaćenih sustava na najnoviju dostupnu inačicu.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://lists.apache.org/thread/9tmf9qyyhgh6m052rhz7lg9vxn390bdv
- https://nvd.nist.gov/vuln/detail/CVE-2023-51467
- https://issues.apache.org/jira/browse/OFBIZ-12873
- https://ofbiz.apache.org/release-notes-18.12.11.htm
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava