Apache 修复严重的 OFBiz 远程代码执行漏洞

admin 2024年9月10日13:44:48评论18 views字数 907阅读3分1秒阅读模式

Apache 修复严重的 OFBiz 远程代码执行漏洞聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Apache 修复了 OFBiz 软件中的一个严重漏洞,可导致攻击者在易受攻击的 Linux 和 Windows 服务器上执行任意代码。

OFBiz 是一款客户关系管理 (CRM) 和企业资源规划 (ERP) 商业应用套件,可被用于开发 web 应用的基于Java 的web 框架。该漏洞的编号是CVE-2024-45159,由 Rapid7 安全研究员发现,是由一个强制浏览弱点造成的远程代码执行漏洞,该弱点可将受限制的路径暴露于未认证直接请求攻击。

安全研究员 Ryan Emmons 在本周四的一份报告中提到,“无有效凭据的攻击者可利用 web 应用中缺失的视图授权检查,在服务器上执行任意代码。”Apache 安全团队在18.12.16版本中增加了授权检查,从而修复了该漏洞。建议 OFBiz 用户尽快升级安装以拦截潜在攻击活动。

Apache 修复严重的 OFBiz 远程代码执行漏洞
此前的安全补丁遭绕过
Apache 修复严重的 OFBiz 远程代码执行漏洞

正如 Emmons 今天进一步解释的那样,CVE-2024-45159是对其它三个 OFBiz 漏洞补丁的绕过,这三个漏洞早在今年年初就已修复,它们是CVE-2024-32113、CVE-2024-36104和CVE-2024-38856。

Emmons 表示,“从分析来看,三个漏洞实际上是由同一个根原因引发的同样的漏洞。”所有这三个漏洞都是由控制器-视图映射分段问题造成的,该问题可导致攻击者执行代码或SQL查询,并在未认证的前提下实现远程代码执行。

8月初,CISA提醒称,5月修复的CVE-2024-32113正在遭利用,而距离 SonicWall 研究员发布CVE-2024-38856预认证RCE漏洞的详情才过去几天。CISA还将另外两个漏洞纳入必修清单,要求联邦机构在三周内按照2021年11月发布的BOD22-01指令将其修复。尽管BOD22-01仅适用于联邦民事行政部门(FCEB),但CISA 督促所有组织机构优先修复这些漏洞,以阻止针对其网络的攻击。12月,攻击者开始利用另外一个OFBiz 预认证RCE漏洞CVE-2023-49070来查找易受攻击的 Confluence 服务器。

原文始发于微信公众号(代码卫士):Apache 修复严重的 OFBiz 远程代码执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月10日13:44:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache 修复严重的 OFBiz 远程代码执行漏洞http://cn-sec.com/archives/3138992.html

发表评论

匿名网友 填写信息