OFBiz 是一款客户关系管理 (CRM) 和企业资源规划 (ERP) 商业应用套件，可被用于开发 web 应用的基于Java 的web 框架。该漏洞的编号是CVE-2024-45159，由 Rapid7 安全研究员发现，是由一个强制浏览弱点造成的远程代码执行漏洞，该弱点可将受限制的路径暴露于未认证直接请求攻击。

安全研究员 Ryan Emmons 在本周四的一份报告中提到，“无有效凭据的攻击者可利用 web 应用中缺失的视图授权检查，在服务器上执行任意代码。”Apache 安全团队在18.12.16版本中增加了授权检查，从而修复了该漏洞。建议 OFBiz 用户尽快升级安装以拦截潜在攻击活动。

此前的安全补丁遭绕过

正如 Emmons 今天进一步解释的那样，CVE-2024-45159是对其它三个 OFBiz 漏洞补丁的绕过，这三个漏洞早在今年年初就已修复，它们是CVE-2024-32113、CVE-2024-36104和CVE-2024-38856。

Emmons 表示，“从分析来看，三个漏洞实际上是由同一个根原因引发的同样的漏洞。”所有这三个漏洞都是由控制器-视图映射分段问题造成的，该问题可导致攻击者执行代码或SQL查询，并在未认证的前提下实现远程代码执行。

8月初，CISA提醒称，5月修复的CVE-2024-32113正在遭利用，而距离 SonicWall 研究员发布CVE-2024-38856预认证RCE漏洞的详情才过去几天。CISA还将另外两个漏洞纳入必修清单，要求联邦机构在三周内按照2021年11月发布的BOD22-01指令将其修复。尽管BOD22-01仅适用于联邦民事行政部门(FCEB)，但CISA 督促所有组织机构优先修复这些漏洞，以阻止针对其网络的攻击。12月，攻击者开始利用另外一个OFBiz 预认证RCE漏洞CVE-2023-49070来查找易受攻击的 Confluence 服务器。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~