Kritická zraniteľnosť v Apache Open For Business

V aplikácii Apache Open For Business bola opravená kritická zraniteľnosť umožňujúca vzdialené vykonávanie kódu bez potreby autentifikácie. Súvisí s nedostatočným overením oprávnení používateľa, ktorý sa pokúša priamo pristúpiť ku chráneným zdrojom.

Zraniteľné systémy:

• Apache OFBiz verzie staršie ako 18.12.16

Opis zraniteľnosti:

CVE-2024-45195 (CVSSv3 skóre 7,5)

Apache opravil kritickú zraniteľnosť v open-source aplikácii OFBiz (Open For Business). Zraniteľnosť CVE-2024-45195 súvisí s nedostatočnou kontrolou oprávnení pre zabezpečené zdroje, čo umožňuje získať k nim prístup priamou požiadavkou. Neautentifikovanému útočníkovi umožňuje vzdialene vykonávať kód na serveri.

Zraniteľnosť obchádza opravu troch predchádzajúcich, ktoré vychádzajú z tej istej chyby (CVE-2024-32113, CVE-2024-36104, CVE-2024-38856). Objavili ju výskumníci spoločnosti Rapid7.

Možné škody:

• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia na Apache OFBiz 18.12.16.

Zdroje:

• https://www.bleepingcomputer.com/news/security/apache-fixes-critical-ofbiz-remote-code-execution-vulnerability/
• https://nvd.nist.gov/vuln/detail/CVE-2024-45195