CVE-2019-10074 in OFBizinfo

Zusammenfassung

von VulDB • 05.07.2026

Ein Remote-Code-Ausführung (RCE) ist möglich, indem Freemarker-Markup in ein Textfeld eines Apache OFBiz Form Widget eingegeben wird, wenn die Kodierung für dieses Feld deaktiviert wurde. Dies war der Fall beim „story“-Eingabefeld der Kundenanforderung in der Order Manager-Anwendung. Die Deaktivierung der Kodierung sollte nur aus gutem Grund erfolgen und niemals in einem Feld, das Benutzereingaben akzeptiert. Abhilfemaßnahme: Upgrade auf Version 16.11.06 oder manuelles Anwenden des folgenden Commits im Branch 16.11: r1858533

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Reservieren

26.03.2019

Moderieren

akzeptiert

Eintrag

VDB-141649

CPE

bereit

EPSS

0.03394

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!