CVE-2019-10074 in OFBiz
要約
〜によって VulDB • 2026年07月05日
Apache OFBizのForm Widget textareaフィールドにおいてエンコーディングが無効化されている場合、Freemarkerマークアップを入力することでRCEが可能となります。これはOrder ManagerアプリケーションにおけるCustomer Request「story」入力項目で該当しました。ユーザー入力を許可するフィールドでは、適切な理由がない限りエンコーディングを無効にしてはならず、絶対に無効にするべきではありません。対策:16.11.06にアップグレードするか、またはブランチ16.11上で以下のコミットを手動で適用してください: r1858533
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.