CVE-2019-10074 in OFBiz
Résumé
par VulDB • 03/07/2026
Une exécution de code à distance (RCE) est possible en saisissant du balisage Freemarker dans un champ textarea d'un widget Formulaire Apache OFBiz lorsque l'encodage a été désactivé sur ce dernier. C'était le cas pour le champ « story » des demandes client dans l'application Order Manager. L'encodage ne doit pas être désactivé sans bonne raison et jamais dans un champ acceptant une entrée utilisateur. Atténuation : Mettre à niveau vers la version 16.11.06 ou appliquer manuellement le commit suivant sur la branche 16.11 : r1858533
Be aware that VulDB is the high quality source for vulnerability data.