Se ha detectado una nueva falla de seguridad dirigido en el sistema de planificación de recursos empresariales (ERP) de código abierto Apache OFBiz que, de ser explotado con éxito, podría conducir a la ejecución remota de código no autenticado en Linux y Windows.
La vulnerabilidad de alta gravedad, identificada como CVE-2024-45195 (Puntuación CVSS: 7,5), afecta a todas las versiones del software anteriores al 18.12.16.
«Un atacante sin credenciales válidas aprovecha las comprobaciones de autorización de visualización faltantes en la aplicación web para ejecutar código arbitrario en el servidor», dijo el investigador de seguridad de Rapid7, Ryan Emmons. dicho en un nuevo informe.
Vale la pena señalar que CVE-2024-45195 es una solución para una secuencia de problemas, CVE-2024-32113, CVE-2024-36104 y CVE-2024-38856, que fueron abordados por los mantenedores del proyecto durante los últimos meses.
Desde entonces, tanto CVE-2024-32113 como CVE-2024-38856 han sido objeto de explotación activa, y el primero se ha utilizado para implementar el malware botnet Mirai.
Rapid7 dijo que las tres deficiencias anteriores se derivan de la «capacidad de desincronizar el controlador y ver el estado del mapa», un problema que nunca se solucionó por completo en ninguno de los parches.
Una consecuencia de la vulnerabilidad es que los atacantes podrían abusar de ella para ejecutar código o consultas SQL y lograr la ejecución remota de código sin autenticación.
El último parche implementado «valida que una vista debe permitir el acceso anónimo si un usuario no está autenticado, en lugar de realizar verificaciones de autorización basadas únicamente en el controlador de destino».
La versión 18.12.16 de Apache OFBiz también soluciona una vulnerabilidad crítica de falsificación de solicitud del lado del servidor (SSRF) (CVE-2024-45507Puntuación CVSS: 9,8) que podría provocar acceso no autorizado y comprometer el sistema aprovechando una URL especialmente diseñada.