湖南微信网站,河南如何优化网站,网站建设与管理学习什么,南宁网站seo顾问近日#xff0c;研究人员发现 Apache OFBiz 中存在一个新的关键漏洞#xff0c;该漏洞是 Apache OFBiz 中的一个错误授权问题#xff0c;被追踪为CVE-2024-38856。该漏洞影响 18.12.14 之前的版本#xff0c;18.12.15 版本解决了该漏洞。
SonicWall 的安全研究员 Hasib Vh… 近日研究人员发现 Apache OFBiz 中存在一个新的关键漏洞该漏洞是 Apache OFBiz 中的一个错误授权问题被追踪为CVE-2024-38856。该漏洞影响 18.12.14 之前的版本18.12.15 版本解决了该漏洞。
SonicWall 的安全研究员 Hasib Vhora 与其他安全专家在公告中写道如果满足某些先决条件如屏幕定义没有明确检查用户的权限因为它们依赖于终端的配置那么未经验证的终端可能允许执行屏幕的屏幕渲染代码。
SonicWall Capture Labs 威胁研究团队在 Apache OFBiz 中发现了一个验证前远程代码执行漏洞该漏洞被追踪为 CVE-2024-38856CVSS 得分为 9.8。这是 SonicWall 最近几个月在 Apache OFBiz 中发现的第二个重大漏洞第一个是在 2023 年 12 月。Vhora 写道这一次覆盖视图功能中的一个漏洞将关键端点暴露给了使用伪造请求的未经验证的威胁行为者为远程代码执行铺平了道路。该漏洞影响 Apache OFBiz 18.12.14 及以下版本强烈建议用户立即升级到 18.12.15 或更新版本。
该问题源于身份验证机制中的一个漏洞它允许未经身份验证的用户访问通常仅限已登录用户使用的功能从而可能导致远程代码执行。 Apache OFBiz 是一个开源 ERP 系统可帮助企业自动化和集成会计、人力资源、客户关系管理、订单管理、制造和电子商务等各种流程。全球有数百家公司使用该系统其中美国占 41%印度占 19%德国占 7%法国占 6%英国占 5%著名用户包括美国联合航空公司、Atlassian JIRA、家得宝和惠普。
SonicWall尚未发现利用该漏洞的攻击但已开发了IPS签名IPS:4455以检测对该问题的任何主动利用。
今年 5 月研究人员披露了 Apache OFBiz 中的另一个漏洞即路径遍历问题CVE-2024-32113。利用这第二个漏洞可导致远程命令执行。
SANS 的研究人员最近发现针对 CVE-2024-32113 的攻击激增。 在今年 5 月份漏洞信息正式公布后我们一直在等待一些利用 OFBiz 漏洞的扫描的实例出现。虽然易受攻击和暴露的人群很少但这段时间一直有攻击者频繁进行了攻击尝试。
威胁情报公司 GreyNoise 的研究人员也观察到了利用第二个漏洞的尝试。 去年12 月SonicWall 专家就曾警告称有一个身份验证绕过零日漏洞被追踪为 CVE-2023-51467影响 Apache OfBiz。
攻击者可以触发该漏洞绕过身份验证实现简单的服务器端请求伪造SSRF。今年 1 月网络安全公司 VulnCheck 的研究人员针对该漏洞创建了一个概念验证PoC利用代码。 参考来源https://securityaffairs.com/166612/hacking/critical-apache-ofbiz-flaw.html
