Ошибка представляет собой произвольный дефект выполнения кода.
Apache выпустила исправление для критической уязвимости в своем программном обеспечении OFBiz. Ошибка представляет собой ошибку произвольного выполнения кода, позволяющую злоумышленникам запускать любой код на серверах Windows или Linux.
Apache OFBiz (сокращение от Open For Business) — это система планирования ресурсов предприятия (ERP) с открытым исходным кодом, которая предоставляет набор приложений, предназначенных для автоматизации и управления широким спектром бизнес-процессов. Она предлагает комплексную платформу для предприятий для обработки таких операций, как управление взаимоотношениями с клиентами (CRM), управление цепочками поставок, управление запасами, бухгалтерский учет, электронная коммерция и многое другое.
По словам исследователей кибербезопасности Rapid7, ошибка возникает из-за уязвимости принудительного просмотра, которая открывает ограниченные пути для атак с прямым запросом без аутентификации. «Злоумышленник без действительных учетных данных может использовать отсутствующие проверки авторизации просмотра в веб-приложении для выполнения произвольного кода на сервере», — пояснили исследователи.
Смягчение и исправление
Уязвимость теперь отслеживается как CVE-2024-45195 и имеет оценку серьезности 7,5 (высокая). Все версии до 18.12.16 были уязвимы, и в последней версии Apache решил проблему, добавив проверки авторизации. Пользователям рекомендуется применить патч без колебаний.
Исследователи также объяснили, что это не первая уязвимость или первый патч, устраняющий тот же самый тип уязвимости. В прошлом году Apache выпустил три патча для трех уязвимостей, все из которых имели одну и ту же основную причину: CVE-2024-32113, CVE-2024-36104 и CVE-2024-38856.
При этом CVE-2024-45195 представляет собой обходной патч для трех старых уязвимостей.
«Все они вызваны проблемой фрагментации карты представления контроллера, которая позволяет злоумышленникам выполнять код или SQL-запросы и осуществлять удаленное выполнение кода без аутентификации», — заключил исследователь.
Ранее в этом месяце Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) предупредило, что одна из трех уязвимостей — CVE-2024-32113 — используется в атаках, и добавило ее в каталог известных эксплуатируемых уязвимостей (KEV).
Ofbiz What is it and how to use it
This video is on the application Apache OFbiz, enjoy: Ofbiz website; https://ofbiz.apache.org/ wiki Ofbiz: ...
Больше на 每天都有技术
Subscribe to get the latest posts sent to your email.
