{"id":1306437,"date":"2024-08-06T05:42:12","date_gmt":"2024-08-06T05:42:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-falla-de-dia-cero-en-apache-ofbiz-erp-permite-la-ejecucion-remota-de-codigo\/"},"modified":"2024-08-06T05:42:16","modified_gmt":"2024-08-06T05:42:16","slug":"nueva-falla-de-dia-cero-en-apache-ofbiz-erp-permite-la-ejecucion-remota-de-codigo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-falla-de-dia-cero-en-apache-ofbiz-erp-permite-la-ejecucion-remota-de-codigo\/","title":{"rendered":"Nueva falla de d\u00eda cero en Apache OFBiz ERP permite la ejecuci\u00f3n remota de c\u00f3digo"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>6 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad empresarial \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha revelado una nueva vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo de preautenticaci\u00f3n de d\u00eda cero en el sistema de planificaci\u00f3n de recursos empresariales (ERP) de c\u00f3digo abierto Apache OFBiz que podr\u00eda permitir a los actores de amenazas lograr la ejecuci\u00f3n remota de c\u00f3digo en las instancias afectadas.<\/p>\n

Rastreado como CVE-2024-38856<\/a><\/strong>La falla tiene una puntuaci\u00f3n CVSS de 9,8 sobre un m\u00e1ximo de 10,0. Afecta a las versiones de Apache OFBiz anteriores a la 18.12.15.<\/p>\n

“La causa principal de la vulnerabilidad radica en un fallo en el mecanismo de autenticaci\u00f3n”, dijo SonicWall, que descubri\u00f3 y report\u00f3 la deficiencia, en un comunicado.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Esta falla permite que un usuario no autenticado acceda a funcionalidades que generalmente requieren que el usuario inicie sesi\u00f3n, lo que allana el camino para la ejecuci\u00f3n remota de c\u00f3digo”.<\/p>\n

CVE-2024-38856 tambi\u00e9n es un parche para omitir CVE-2024-36104<\/a>una vulnerabilidad de recorrido de ruta que se solucion\u00f3 a principios de junio con el lanzamiento de 18.12.14.<\/p>\n

SonicWall describi\u00f3 la falla como residente en la funcionalidad de vista de anulaci\u00f3n que expone puntos finales cr\u00edticos a actores de amenazas no autenticados, quienes podr\u00edan aprovecharla para lograr la ejecuci\u00f3n remota de c\u00f3digo a trav\u00e9s de solicitudes especialmente dise\u00f1adas.<\/p>\n

“Se permiti\u00f3 el acceso no autenticado al punto final de ProgramExport al encadenarlo con cualquier otro punto final que no requiera autenticaci\u00f3n mediante el abuso de la funcionalidad de vista de anulaci\u00f3n”, dijo el investigador de seguridad Hasib Vhora. dicho<\/a>.<\/p>\n

\"La<\/a><\/center><\/section>\n

El desarrollo surge como otra vulnerabilidad de ruta cr\u00edtica en OFBiz que podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo (CVE-2024-32113<\/a>) ha sido objeto de explotaci\u00f3n activa para implementar la botnet Mirai. Se le aplic\u00f3 un parche en mayo de 2024.<\/p>\n

En diciembre de 2023, SonicWall tambi\u00e9n revel\u00f3 una falla de d\u00eda cero en el mismo software (CVE-2023-51467) que permit\u00eda eludir las protecciones de autenticaci\u00f3n. Posteriormente, fue objeto de una gran cantidad de intentos de explotaci\u00f3n.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n