Apache OFBiz: 17 Lücken, darunter kritische RCE ohne Login

Sammelupdate schließt 17 Schwachstellen in Apache OFBiz Kritische OFBiz-Lücken erlauben Codeausführung ohne Anmeldung

03.06.2026 Von Thomas Joos 2 min Lesedauer

Apache OFBiz 24.09.06 behebt 17 Schwachstellen im Open-Source-ERP-System, darunter zwei kritische Lücken mit CVSS-Score 9.1 und eine mit 9.8, die nicht authentifizierte Codeausführung ermöglichen. Betroffen sind alle Versionen vor 24.09.06. Betreiber sollten schnellstmöglich aktualisieren.

Apache OFBiz 24.09.06 behebt 17 Schwachstellen, darunter kritische Lücken mit CVSS 9.8 und 9.1 die nicht authentifizierte Codeausführung ermöglichen.(Bild: Gemini / KI-generiert) — Apache OFBiz 24.09.06 behebt 17 Schwachstellen, darunter kritische Lücken mit CVSS 9.8 und 9.1 die nicht authentifizierte Codeausführung ermöglichen.
(Bild: Gemini / KI-generiert)

Die OFBiz-Entwickler haben am 19.05.2026 ein Bündel von Sicherheitsmeldungen veröffentlicht. Betroffen sind sämtliche Versionen vor 24.09.06 des Java-basierten ERP-Systems. Die Fehler verteilen sich auf Codeausführung, Schwächen bei Authentifizierung und Autorisierung, serverseitige Anfragefälschung und Skript-Einschleusung.

Apache Tomcat wird häufig als Open-Source-Servlet-Container für die Ausführung von Java-Webanwendungen eingesetzt. Nun birgt die Lösung die Gefahr, dass Angreifer Sicherheitsfunktionen umgehen und sensible Informationen offenlegen können. (Bild: Dall-E / KI-generiert)

Remote Code Execution durch Code- und Template-Injection

Den schwersten Block bilden mehrere Pfade zur Codeausführung. CVE-2026-31986 mit einem CVSS-Score von 9.1 beruht auf einem fest eingebauten kryptografischen Schlüssel. Über den voreingestellten JWT-Signaturschlüssel in Kombination mit einer Injection in Widget-Templates führt ein nicht authentifizierter Angreifer eigenen Code aus. CVE-2026-31378 (CVSS-Score 6.5) umgeht per JSON-Attribut-Override und einer Lücke in der URL-Allowlist die Eingabeprüfung und mündet ebenfalls in Remote Code Execution. Authentifizierte Konten greifen über CVE-2026-46586 mit einem CVSS-Score von 8.8 auf den traverseContent-Service zu und schleusen Groovy-Code ein. CVE-2026-35086 (CVSS-Score 6.5) nutzt eine unsichere Template-Expansion in den E-Mail-Services. An der Template-Engine setzen CVE-2026-29207 (CVSS-Score 6.5) als Server-Side Template Injection im Content-Component mit niedrigen Rechten und CVE-2026-31380 (CVSS-Score 6.5) als FreeMarker-Injection über eine Umgehung der Parameter-Bereinigung bei doppelten Parametern an.

Die Schwachstelle EUVD-2026-19588 / CVE-2026-34197 betrifft den Apache ActiveMQ Broker in den Versionen vor 5.19.4 sowie von 6.0.0 bis einschließlich 6.2.2. Auch Apache ActiveMQ ist betroffen. (Bild: oz - stock.adobe.com)

Schwächen bei Authentifizierung und Autorisierung

Eine zweite Gruppe betrifft Anmeldung und Berechtigungen. CVE-2026-45434 mit einem kritischen CVSS-Score von 9.8 umgeht die erzwungene Passwortänderung. Die Methode LoginWorker.checkLogin behandelt das gesetzte Flag requirePasswordChange als erfolgreiche Anmeldung und ermöglicht so den Zugang bis hin zur Codeausführung. CVE-2026-41919 mit einem ebenfalls kritischen CVSS-Score von 9.1 gestattet einen Authentifizierungs-Bypass durch unzureichende Maskierung von LDAP-Sonderzeichen in der DN-Konstruktion. CVE-2026-31387 (CVSS-Score 5.3) erlaubt über manipulierte Cookies das Fälschen von JWT und die Übernahme fremder Konten. CVE-2026-45187 (CVSS-Score 6.5) lässt niedrigprivilegierte Nutzer in den Webtools Systemjobs einplanen. CVE-2026-31388 (CVSS-Score 5.3) legt in Mandantenumgebungen Daten über die Programm-Export-Funktion mandantenübergreifend offen.

SSRF und unbefugter Dateizugriff

Mehrere Meldungen betreffen serverseitige Anfragen und Dateizugriffe. CVE-2026-29226 mit einem CVSS-Score von 7.3 ermöglicht im Content-Component eine Server-Side Request Forgery. CVE-2026-31910 hat einen CVSS-Score von 7.5 und führt über eine mangelhafte Eingabeprüfung in den UI-Factory-Klassen zu SSRF und blindem Dateizugriff. CVE-2026-29220 (CVSS-Score 6.5) gestattet mit geringen Rechten das Einbinden lokaler Dateien (Local File Inclusion) im Content-Component. CVE-2026-31909 mit einem CVSS-Score von 7.5 gibt Versand-Label-Images ohne Authentifizierung preis.

Cross-Site Scripting und Datei-Uploads

Zwei weitere Lücken mit jeweils einem CVSS-Score von 6.1 betreffen Skript-Einschleusung und Datei-Uploads. CVE-2026-31906 resultiert in reflektiertem Cross-Site Scripting durch fehlerhafte Maskierung von HTML-Attributen in den Parametern eines Modal-Dialogs. CVE-2026-31379 verbindet Path Traversal mit einer Umgehung der Upload-Prüfung im Catalog Manager. Die Lücke ermöglicht willkürlichen Dateischreibzugriff, persistentes XSS und Codeausführung.

Akira will interne Daten der Apache Software Foundation gestohlen haben. Auch Informationen über Mitarbeitende von OpenOffice. Doch als Open-Source-Softwareprojekt besitze Apache keine Mitarbeitendendaten. (Bild: Rax Qiu - stock.adobe.com)

Fazit

Alle genannten Schwachstellen betreffen sämtliche Releases vor 24.09.06 und sind in dieser Version behoben. Die Bandbreite reicht von reflektiertem Cross-Site Scripting bis zur nicht authentifizierten Remote Code Execution, was den Aktualisierungsdruck für betriebene OFBiz-Installationen erhöht.

(ID:50858911)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.