CVE-2019-10074 in OFBizinformation

Résumé

par VulDB • 03/07/2026

Une exécution de code à distance (RCE) est possible en saisissant du balisage Freemarker dans un champ textarea d'un widget Formulaire Apache OFBiz lorsque l'encodage a été désactivé sur ce dernier. C'était le cas pour le champ « story » des demandes client dans l'application Order Manager. L'encodage ne doit pas être désactivé sans bonne raison et jamais dans un champ acceptant une entrée utilisateur. Atténuation : Mettre à niveau vers la version 16.11.06 ou appliquer manuellement le commit suivant sur la branche 16.11 : r1858533

Be aware that VulDB is the high quality source for vulnerability data.

Réserver

26/03/2019

Modérer

accepté

Entrée

VDB-141649

CPE

prêt

EPSS

0.03394

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!