Apache 修复严重的 OFBiz 远程代码执行漏洞
2024-9-6 17:1:30 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Apache 修复了 OFBiz 软件中的一个严重漏洞,可导致攻击者在易受攻击的 Linux 和 Windows 服务器上执行任意代码。

OFBiz 是一款客户关系管理 (CRM) 和企业资源规划 (ERP) 商业应用套件,可被用于开发 web 应用的基于Java 的web 框架。该漏洞的编号是CVE-2024-45159,由 Rapid7 安全研究员发现,是由一个强制浏览弱点造成的远程代码执行漏洞,该弱点可将受限制的路径暴露于未认证直接请求攻击。

安全研究员 Ryan Emmons 在本周四的一份报告中提到,“无有效凭据的攻击者可利用 web 应用中缺失的视图授权检查,在服务器上执行任意代码。”Apache 安全团队在18.12.16版本中增加了授权检查,从而修复了该漏洞。建议 OFBiz 用户尽快升级安装以拦截潜在攻击活动。

此前的安全补丁遭绕过

正如 Emmons 今天进一步解释的那样,CVE-2024-45159是对其它三个 OFBiz 漏洞补丁的绕过,这三个漏洞早在今年年初就已修复,它们是CVE-2024-32113、CVE-2024-36104和CVE-2024-38856。

Emmons 表示,“从分析来看,三个漏洞实际上是由同一个根原因引发的同样的漏洞。”所有这三个漏洞都是由控制器-视图映射分段问题造成的,该问题可导致攻击者执行代码或SQL查询,并在未认证的前提下实现远程代码执行。

8月初,CISA提醒称,5月修复的CVE-2024-32113正在遭利用,而距离 SonicWall 研究员发布CVE-2024-38856预认证RCE漏洞的详情才过去几天。CISA还将另外两个漏洞纳入必修清单,要求联邦机构在三周内按照2021年11月发布的BOD22-01指令将其修复。尽管BOD22-01仅适用于联邦民事行政部门(FCEB),但CISA 督促所有组织机构优先修复这些漏洞,以阻止针对其网络的攻击。12月,攻击者开始利用另外一个OFBiz 预认证RCE漏洞CVE-2023-49070来查找易受攻击的 Confluence 服务器。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

【已复现】Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)安全风险通告

Apache 修复 Apache HTTP Server 中的源代码泄露漏洞

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

Apache 项目中存在依赖混淆漏洞

【已复现】Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)安全风险通告

原文链接

https://www.bleepingcomputer.com/news/security/apache-fixes-critical-ofbiz-remote-code-execution-vulnerability/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520714&idx=2&sn=a3784b5b2245f1449edaefa3064d676f&chksm=ea94a0a0dde329b6ca2b17012b7eb003867fd983c6abcc5e7fde821968dec1ea86592860496c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh