یک نقص امنیتی جدید در سیستم برنامهریزی منابع سازمانی منبع باز Apache OFBiz (ERP) برطرف شده است[۱] که در صورت بهرهبرداری موفقیتآمیز، میتواند منجر به اجرای کد از راه دور تائید نشده در لینوکس و ویندوز شود.
این آسیبپذیری با شدت بالا که با نام CVE-2024-45195 (امتیاز ۵/۷ در مقیاس CVSS) ردیابی میشود[۲]، تمامی نسخههای نرمافزار قبل از تاریخ ۱۸٫۱۲٫۱۶ را تحت تأثیر قرار میدهد.
رایان امونز، محقق امنیتی Rapid7 در گزارشی جدید گفت[۳]: “یک مهاجم بدون اعتبارنامه معتبر از بررسیهای مجوز مشاهده گمشده در برنامه وب برای اجرای کد دلخواه روی سرور بهرهبرداری میکند.”
شایانذکر است که CVE-2024-45195 یک دور زدن برای دنبالهای از مسائل[۴]، CVE-2024-32113، CVE-2024-36104، و CVE-2024-38856 است که در چند ماه گذشته توسط نگهبانان پروژه رسیدگی شده است.
هر دوی CVE-2024-32113 و CVE-2024-38856 از آن زمان تاکنون تحت بهرهبرداری فعال در سطح اینترنت قرارگرفتهاند، و اولی برای استقرار بدافزار بات نت Mirai استفاده میشود.
Rapid7 گفت که هر سه نقص قدیمیتر ناشی از «قابلیت همگامسازی کنترلکننده و مشاهده وضعیت نقشه» است، مشکلی که هرگز در هیچیک از وصلهها بهطور کامل برطرف نشد.
پیامد این آسیبپذیری این است که مهاجمان میتوانند از آن برای اجرای کد یا کوئریهای SQL و دستیابی به اجرای کد از راه دور بدون احراز هویت استفاده کنند.
آخرین وصله ایجادشده “تأیید میکند که اگر یک کاربر احراز هویت نشده باشد، یک نما باید بهجای انجام بررسیهای مجوز صرفاً بر اساس کنترلکننده هدف، اجازه دسترسی ناشناس را بدهد.”
Apache OFBiz نسخه ۱۸٫۱۲٫۱۶ همچنین آسیبپذیری جعلی درخواست سمت سرور[۵] (SSRF) (CVE-2024-45507، امتیاز ۸/۹ در مقیاس CVSS) را که میتواند منجر به دسترسی غیرمجاز و به خطر افتادن سیستم با استفاده از یک URL ساختهشده خاص شود، برطرف میکند.
منابع
[۱] https://ofbiz.apache.org/security.html
[۲] https://nvd.nist.gov/vuln/detail/CVE-2024-45195
[۳] https://www.rapid7.com/blog/post/2024/09/05/cve-2024-45195-apache-ofbiz-unauthenticated-remote-code-execution-fixed
[۴] https://thehackernews.com/2024/08/new-zero-day-flaw-in-apache-ofbiz-erp.html
[۵] https://nvd.nist.gov/vuln/detail/CVE-2024-45507
[۶] https://thehackernews.com/2024/09/apache-ofbiz-update-fixes-high-severity.html
ثبت ديدگاه