Açık kaynaklı bir Kurumsal Kaynak Planlama (ERP) sistemi olan Apache OfBiz’de, kimlik doğrulama korumalarını atlamak için kullanılabilecek yeni bir sıfır gün güvenlik açığı keşfedildi.
Şu şekilde izlenen güvenlik açığı: CVE-2023-51467oturum açma işlevinde bulunur ve başka bir kritik güvenlik açığına yönelik tamamlanmamış bir yamanın sonucudur (CVE-2023-49070CVSS puanı: 9,8) bu ayın başlarında yayınlandı.
” güvenlik önlemleri CVE-2023-49070 yamasını almak için alınan kök sorunu olduğu gibi bıraktı ve bu nedenle kimlik doğrulama bypass’ı hala mevcuttu.” Hatayı keşfeden SonicWall Capture Labs tehdit araştırma ekibi şunları söyledi: söz konusu The Hacker News ile paylaşılan bir açıklamada.
CVE-2023-49070, 18.12.10’dan önceki sürümleri etkileyen, başarıyla kullanıldığında tehdit aktörlerinin sunucu üzerinde tam kontrol sahibi olmasına ve hassas verileri sifonlamasına olanak tanıyan, önceden kimliği doğrulanmış bir uzaktan kod yürütme kusurunu ifade eder. Bunun nedeni Apache OFBiz’deki kullanımdan kaldırılmış bir XML-RPC bileşenidir.
SonicWall’a göre, CVE-2023-51467, bir HTTP isteğinde boş ve geçersiz KULLANICI ADI ve ŞİFRE parametreleri kullanılarak bir kimlik doğrulama başarı mesajı döndürmek için tetiklenebilir, bu da korumayı etkili bir şekilde atlatabilir ve bir tehdit aktörünün yetkisiz dahili kaynaklara erişmesine olanak sağlayabilir.
Saldırı, “requirePasswordChange” parametresinin URL’de “Y” (yani, evet) olarak ayarlanmasına dayanıyor ve bu durum, kullanıcı adı ve şifre alanlarına iletilen değerlere bakılmaksızın kimlik doğrulamanın önemsiz bir şekilde atlanmasına neden oluyor.
“Güvenlik açığı, saldırganların basit bir Sunucu Tarafı İstek Sahteciliği gerçekleştirmek için kimlik doğrulamayı atlamasına olanak tanıyor (SSRF),” NIST Ulusal Güvenlik Açığı Veritabanındaki (NVD) kusurun açıklamasına göre.
Güncelleme yapmak için Apache OFbiz’e güvenen kullanıcılar sürüm 18.12.11 veya daha sonra olası tehditleri azaltmak için mümkün olan en kısa sürede.