Yeni bir güvenlik açığı ortaya çıktı ele alındı Apache OFBiz açık kaynaklı kurumsal kaynak planlama (ERP) sisteminde, eğer başarılı bir şekilde istismar edilirse, Linux ve Windows’ta kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek bir güvenlik açığı bulunmaktadır.
Yüksek şiddetteki güvenlik açığı, şu şekilde izlendi: CVE-2024-45195 (CVSS puanı: 7.5), 18.12.16 tarihinden önceki tüm yazılım sürümlerini etkiler.
“Geçerli kimlik bilgileri olmayan bir saldırgan, web uygulamasındaki eksik görünüm yetkilendirme kontrollerini kullanarak sunucuda keyfi kod yürütüyor,” Rapid7 güvenlik araştırmacısı Ryan Emmons söz konusu yeni bir raporda.
CVE-2024-45195’in, proje bakıcıları tarafından son birkaç ayda ele alınan CVE-2024-32113, CVE-2024-36104 ve CVE-2024-38856 adlı bir dizi sorunun atlanması için bir çözüm olduğunu belirtmekte fayda var.
Hem CVE-2024-32113 hem de CVE-2024-38856 o zamandan beri yaygın olarak kullanılıyor ve ilki Mirai botnet kötü amaçlı yazılımını dağıtmak için kullanılıyor.
Rapid7, üç eski eksikliğin de “denetleyicinin senkronizasyonunu bozma ve harita durumunu görüntüleme yeteneğinden” kaynaklandığını ve bu sorunun hiçbir yamada tam olarak giderilmediğini söyledi.
Bu güvenlik açığının bir sonucu olarak saldırganlar tarafından kötüye kullanılarak kimlik doğrulaması olmaksızın uzaktan kod yürütme veya SQL sorguları yürütme olanağı bulunmaktadır.
Uygulanan son yama, “hedef denetleyiciye dayalı yetkilendirme kontrolleri gerçekleştirmek yerine, bir kullanıcının kimliği doğrulanmamışsa görünümün anonim erişime izin vermesi gerektiğini doğruluyor.”
Apache OFBiz sürüm 18.12.16 ayrıca kritik bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığını da giderir (CVE-2024-45507CVSS puanı: 9.8) özel olarak hazırlanmış bir URL’den yararlanılarak yetkisiz erişime ve sistemin tehlikeye atılmasına yol açabilecek bir saldırıdır.