Une nouvelle faille de sécurité a été détectée adressé dans le système de planification des ressources d’entreprise (ERP) open source Apache OFBiz qui, s’il était exploité avec succès, pourrait conduire à l’exécution de code à distance non authentifié sur Linux et Windows.
La vulnérabilité de haute gravité, suivie comme CVE-2024-45195 (Score CVSS : 7,5), affecte toutes les versions du logiciel antérieures au 18.12.16.
« Un attaquant sans informations d’identification valides exploite les contrôles d’autorisation d’affichage manquants dans l’application Web pour exécuter du code arbitraire sur le serveur », a déclaré Ryan Emmons, chercheur en sécurité chez Rapid7. dit dans un nouveau rapport.
Il convient de noter que CVE-2024-45195 est un contournement pour une séquence de problèmes, CVE-2024-32113, CVE-2024-36104 et CVE-2024-38856, qui ont été traités par les responsables du projet au cours des derniers mois.
Les vulnérabilités CVE-2024-32113 et CVE-2024-38856 ont depuis été activement exploitées, la première étant utilisée pour déployer le malware botnet Mirai.
Rapid7 a déclaré que les trois anciens défauts proviennent de la « possibilité de désynchroniser le contrôleur et d’afficher l’état de la carte », un problème qui n’a jamais été entièrement résolu dans aucun des correctifs.
Une conséquence de cette vulnérabilité est qu’elle pourrait être exploitée par des attaquants pour exécuter du code ou des requêtes SQL et réaliser une exécution de code à distance sans authentification.
Le dernier correctif mis en place « valide qu’une vue doit autoriser l’accès anonyme si un utilisateur n’est pas authentifié, plutôt que d’effectuer des contrôles d’autorisation basés uniquement sur le contrôleur cible ».
La version 18.12.16 d’Apache OFBiz corrige également une vulnérabilité critique de falsification de requête côté serveur (SSRF) (CVE-2024-45507Score CVSS : 9,8) qui pourrait conduire à un accès non autorisé et à une compromission du système en tirant parti d’une URL spécialement conçue.