Apache OFBizの重大な認証バイパス脆弱性がCVE-2026-45434として追跡され、公開開示されました。この脆弱性により、攻撃者は強制パスワード変更制限をバイパスし、パッチが当たっていないサーバ上で完全なリモートコード実行(RCE)を実現できます。
2026年5月19~20日に開示され、CVSS 3.1スコア9.8(重大)が割り当てられたこの脆弱性は、従来の18.12.xブランチと24.09.05を通じた24.09.xシリーズを含む、24.09.06以前のすべてのApache OFBizバージョンに影響します。
Apache OFBizは、製造、小売、金融セクター全体で使用されている広く展開されたオープンソースの企業資源計画(ERP)フレームワークです。
この脆弱性はOFBizのLoginWorker.checkLogin()メソッドに存在し、プラットフォーム全体で認証を処理します。
ロックされたアカウントは代わりに"requirePasswordChange"を返すため、条件付きチェックがfalseと評価され、レスポンスが成功した認証として効果的に処理されます。
フラグが立てられたアカウントの有効な認証情報を持つ攻撃者は、クライアント制御のHTTPパラメータとしてrequirePasswordChange=Yを注入し、インラインパスワード変更をトリガーし、単一のPOSTリクエスト内で保護された任意のエンドポイントに即座にアクセスできます。
開発、ステージング、最近デプロイされた本番環境を含む、これらの認証情報を保持するインターネット接続インスタンスはすべて、簡単に悪用可能です。
成功した悪用により、攻撃者はJVMへの完全なアクセスを得て、OS コマンド実行、データベース流出、バックドアインストール、ラテラルネットワークムーブメントが可能になります。
研究者のテスト環境では、OFBizはrootとして実行され、完全なシステム侵害が発生しました。
概念実証Pythonエクスプロイトが開発され、Ubuntu 24.04上でOpenJDK 17を実行するOFBiz 24.09.05で確認されました。テスト条件ではuid=0(root)を返します。
Apacheはバージョン24.09.06で3つのコミットを通じて脆弱性に対処しました:
Apache OFBizを実行している組織は、直ちにバージョン24.09.06にアップグレードするよう強く促されています。
さらに、管理者は保持されたデフォルト認証情報についてすべてのユーザーアカウントを監査し、本番インスタンスのデモデータを無効化または削除し、ネットワーク境界で/webtools/control/ProgramExportエンドポイントへの外部アクセスを制限すべきです。
翻訳元: https://cyberpress.org/apache-ofbiz-flaw-exploited/
