聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
OFBiz 是一款客户关系管理 (CRM) 和企业资源规划 (ERP) 商业应用套件,可被用于开发 web 应用的基于Java 的web 框架。该漏洞的编号是CVE-2024-45159,由 Rapid7 安全研究员发现,是由一个强制浏览弱点造成的远程代码执行漏洞,该弱点可将受限制的路径暴露于未认证直接请求攻击。
安全研究员 Ryan Emmons 在本周四的一份报告中提到,“无有效凭据的攻击者可利用 web 应用中缺失的视图授权检查,在服务器上执行任意代码。”Apache 安全团队在18.12.16版本中增加了授权检查,从而修复了该漏洞。建议 OFBiz 用户尽快升级安装以拦截潜在攻击活动。
正如 Emmons 今天进一步解释的那样,CVE-2024-45159是对其它三个 OFBiz 漏洞补丁的绕过,这三个漏洞早在今年年初就已修复,它们是CVE-2024-32113、CVE-2024-36104和CVE-2024-38856。
Emmons 表示,“从分析来看,三个漏洞实际上是由同一个根原因引发的同样的漏洞。”所有这三个漏洞都是由控制器-视图映射分段问题造成的,该问题可导致攻击者执行代码或SQL查询,并在未认证的前提下实现远程代码执行。
8月初,CISA提醒称,5月修复的CVE-2024-32113正在遭利用,而距离 SonicWall 研究员发布CVE-2024-38856预认证RCE漏洞的详情才过去几天。CISA还将另外两个漏洞纳入必修清单,要求联邦机构在三周内按照2021年11月发布的BOD22-01指令将其修复。尽管BOD22-01仅适用于联邦民事行政部门(FCEB),但CISA 督促所有组织机构优先修复这些漏洞,以阻止针对其网络的攻击。12月,攻击者开始利用另外一个OFBiz 预认证RCE漏洞CVE-2023-49070来查找易受攻击的 Confluence 服务器。
【已复现】Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)安全风险通告
Apache 修复 Apache HTTP Server 中的源代码泄露漏洞
https://www.bleepingcomputer.com/news/security/apache-fixes-critical-ofbiz-remote-code-execution-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~