Sammelupdate schließt 17 Schwachstellen in Apache OFBiz Kritische OFBiz-Lücken erlauben Codeausführung ohne Anmeldung
Apache OFBiz 24.09.06 behebt 17 Schwachstellen im Open-Source-ERP-System, darunter zwei kritische Lücken mit CVSS-Score 9.1 und eine mit 9.8, die nicht authentifizierte Codeausführung ermöglichen. Betroffen sind alle Versionen vor 24.09.06. Betreiber sollten schnellstmöglich aktualisieren.
(Bild: Gemini / KI-generiert)
Die OFBiz-Entwickler haben am 19.05.2026 ein Bündel von Sicherheitsmeldungen veröffentlicht. Betroffen sind sämtliche Versionen vor 24.09.06 des Java-basierten ERP-Systems. Die Fehler verteilen sich auf Codeausführung, Schwächen bei Authentifizierung und Autorisierung, serverseitige Anfragefälschung und Skript-Einschleusung.
:quality(80)/p7i.vogel.de/wcms/e3/33/e333763ff26e13e15edaf3f9be1dbea5/0129982986v2.jpeg "Dall-E / KI-generiert)")
Remote Code Execution durch Code- und Template-Injection
Den schwersten Block bilden mehrere Pfade zur Codeausführung. CVE-2026-31986 mit einem CVSS-Score von 9.1 beruht auf einem fest eingebauten kryptografischen Schlüssel. Über den voreingestellten JWT-Signaturschlüssel in Kombination mit einer Injection in Widget-Templates führt ein nicht authentifizierter Angreifer eigenen Code aus. CVE-2026-31378 (CVSS-Score 6.5) umgeht per JSON-Attribut-Override und einer Lücke in der URL-Allowlist die Eingabeprüfung und mündet ebenfalls in Remote Code Execution. Authentifizierte Konten greifen über CVE-2026-46586 mit einem CVSS-Score von 8.8 auf den traverseContent-Service zu und schleusen Groovy-Code ein. CVE-2026-35086 (CVSS-Score 6.5) nutzt eine unsichere Template-Expansion in den E-Mail-Services. An der Template-Engine setzen CVE-2026-29207 (CVSS-Score 6.5) als Server-Side Template Injection im Content-Component mit niedrigen Rechten und CVE-2026-31380 (CVSS-Score 6.5) als FreeMarker-Injection über eine Umgehung der Parameter-Bereinigung bei doppelten Parametern an.
:quality(80)/p7i.vogel.de/wcms/f4/2b/f42b0456ab068cdc722e6cefd4c30479/0130824019v2.jpeg "Die Schwachstelle EUVD-2026-19588 / CVE-2026-34197 betrifft den Apache ActiveMQ Broker in den Versionen vor 5.19.4 sowie von 6.0.0 bis einschließlich 6.2.2. Auch Apache ActiveMQ ist betroffen. (Bild: oz - stock.adobe.com)")
Schwächen bei Authentifizierung und Autorisierung
Eine zweite Gruppe betrifft Anmeldung und Berechtigungen. CVE-2026-45434 mit einem kritischen CVSS-Score von 9.8 umgeht die erzwungene Passwortänderung. Die Methode LoginWorker.checkLogin behandelt das gesetzte Flag requirePasswordChange als erfolgreiche Anmeldung und ermöglicht so den Zugang bis hin zur Codeausführung. CVE-2026-41919 mit einem ebenfalls kritischen CVSS-Score von 9.1 gestattet einen Authentifizierungs-Bypass durch unzureichende Maskierung von LDAP-Sonderzeichen in der DN-Konstruktion. CVE-2026-31387 (CVSS-Score 5.3) erlaubt über manipulierte Cookies das Fälschen von JWT und die Übernahme fremder Konten. CVE-2026-45187 (CVSS-Score 6.5) lässt niedrigprivilegierte Nutzer in den Webtools Systemjobs einplanen. CVE-2026-31388 (CVSS-Score 5.3) legt in Mandantenumgebungen Daten über die Programm-Export-Funktion mandantenübergreifend offen.
SSRF und unbefugter Dateizugriff
Mehrere Meldungen betreffen serverseitige Anfragen und Dateizugriffe. CVE-2026-29226 mit einem CVSS-Score von 7.3 ermöglicht im Content-Component eine Server-Side Request Forgery. CVE-2026-31910 hat einen CVSS-Score von 7.5 und führt über eine mangelhafte Eingabeprüfung in den UI-Factory-Klassen zu SSRF und blindem Dateizugriff. CVE-2026-29220 (CVSS-Score 6.5) gestattet mit geringen Rechten das Einbinden lokaler Dateien (Local File Inclusion) im Content-Component. CVE-2026-31909 mit einem CVSS-Score von 7.5 gibt Versand-Label-Images ohne Authentifizierung preis.
Cross-Site Scripting und Datei-Uploads
Zwei weitere Lücken mit jeweils einem CVSS-Score von 6.1 betreffen Skript-Einschleusung und Datei-Uploads. CVE-2026-31906 resultiert in reflektiertem Cross-Site Scripting durch fehlerhafte Maskierung von HTML-Attributen in den Parametern eines Modal-Dialogs. CVE-2026-31379 verbindet Path Traversal mit einer Umgehung der Upload-Prüfung im Catalog Manager. Die Lücke ermöglicht willkürlichen Dateischreibzugriff, persistentes XSS und Codeausführung.
:quality(80)/p7i.vogel.de/wcms/1c/10/1c10c792a4e7c7c635fba87e7eae8129/0127846749v2.jpeg "Rax Qiu - stock.adobe.com)")
Fazit
Alle genannten Schwachstellen betreffen sämtliche Releases vor 24.09.06 und sind in dieser Version behoben. Die Bandbreite reicht von reflektiertem Cross-Site Scripting bis zur nicht authentifizierten Remote Code Execution, was den Aktualisierungsdruck für betriebene OFBiz-Installationen erhöht.
(ID:50858911)
