В системе планирования ресурсов предприятия (ERP) с открытым исходным кодом Apache OFBiz обнаружена новая уязвимость нулевого дня, позволяющая удаленно выполнять код до аутентификации. Она может позволить злоумышленникам удаленно выполнять код на уязвимых экземплярах.
Отслеживаемая как CVE-2024-38856 , уязвимость имеет оценку CVSS 9,8 из максимальных 10,0. Она затрагивает версии Apache OFBiz до 18.12.15.
«Основная причина уязвимости кроется в недостатке механизма аутентификации», — говорится в заявлении компании SonicWall, которая обнаружила недостаток и сообщила о нем.
«Эта уязвимость позволяет неавторизованному пользователю получить доступ к функциям, которые обычно требуют входа пользователя в систему, что открывает путь для удаленного выполнения кода».
CVE-2024-38856 также является обходом исправления для CVE-2024-36104 , уязвимости обхода пути, которая была устранена в начале июня с выпуском 18.12.14.
По словам SonicWall, уязвимость кроется в функции переопределения представления, которая открывает доступ к критически важным конечным точкам неаутентифицированным злоумышленникам, которые могут использовать ее для удаленного выполнения кода с помощью специально созданных запросов.
«Неавторизованный доступ был разрешен к конечной точке ProgramExport путем ее связывания с любыми другими конечными точками, не требующими аутентификации, путем злоупотребления функциональностью переопределения представления», — сообщил исследователь в области безопасности Хасиб Вхора.
Разработка происходит в то время, как еще одна критическая уязвимость обхода пути в OFBiz, которая может привести к удаленному выполнению кода (CVE-2024-32113 ), с тех пор активно эксплуатируется для развертывания ботнета Mirai. Она была исправлена в мае 2024 года.
В декабре 2023 года SonicWall также раскрыл уязвимость нулевого дня в том же программном обеспечении (CVE-2023-51467), которая позволяла обходить защиту аутентификации. Впоследствии она подверглась большому количеству попыток эксплуатации.
