Vulnerabilidad en Apache OFBiz (CVE-2025-54466)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
15/08/2025
Última modificación:
04/11/2025
Descripción
Vulnerabilidad de control inadecuado de generación de código ('Inyección de código') que puede provocar una RCE en el complemento Scrum de Apache OFBiz. Este problema afecta a Apache OFBiz: versiones anteriores al 24.09.02 únicamente cuando se utiliza el complemento Scrum. Incluso atacantes no autenticados pueden explotar esta vulnerabilidad. Se recomienda actualizar a la versión 24.09.02, que soluciona el problema.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:ofbiz:*:*:*:*:*:*:*:* | 24.09.02 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://issues.apache.org/jira/browse/OFBIZ-13276
- https://lists.apache.org/thread/14d0yd9co9gx2mctd3vyz1cc8d39n915
- https://ofbiz.apache.org/download.html
- https://ofbiz.apache.org/release-notes-24.09.02.html
- https://ofbiz.apache.org/security.html
- http://www.openwall.com/lists/oss-security/2025/08/05/1