近日，研究人員發(fā)現(xiàn) Apache OFBiz 中存在一個新的關(guān)鍵漏洞，該漏洞是 Apache OFBiz 中的一個錯誤授權(quán)問題，被追蹤為CVE-2024-38856。該漏洞影響 18.12.14 之前的版本，18.12.15 版本解決了該漏洞。

SonicWall 的安全研究員 Hasib Vhora 與其他安全專家在公告中寫道：如果滿足某些先決條件，如屏幕定義沒有明確檢查用戶的權(quán)限，因為它們依賴于終端的配置，那么未經(jīng)驗證的終端可能允許執(zhí)行屏幕的屏幕渲染代碼。

SonicWall Capture Labs 威脅研究團隊在 Apache OFBiz 中發(fā)現(xiàn)了一個驗證前遠程代碼執(zhí)行漏洞，該漏洞被追蹤為 CVE-2024-38856，CVSS 得分為 9.8。這是 SonicWall 最近幾個月在 Apache OFBiz 中發(fā)現(xiàn)的第二個重大漏洞，第一個是在 2023 年 12 月。Vhora 寫道：這一次，覆蓋視圖功能中的一個漏洞將關(guān)鍵端點暴露給了使用偽造請求的未經(jīng)驗證的威脅行為者，為遠程代碼執(zhí)行鋪平了道路。該漏洞影響 Apache OFBiz 18.12.14 及以下版本，強烈建議用戶立即升級到 18.12.15 或更新版本。

該問題源于身份驗證機制中的一個漏洞，它允許未經(jīng)身份驗證的用戶訪問通常僅限已登錄用戶使用的功能，從而可能導(dǎo)致遠程代碼執(zhí)行。Apache OFBiz 是一個開源 ERP 系統(tǒng)，可幫助企業(yè)自動化和集成會計、人力資源、客戶關(guān)系管理、訂單管理、制造和電子商務(wù)等各種流程。全球有數(shù)百家公司使用該系統(tǒng)，其中美國占 41%，印度占 19%，德國占 7%，法國占 6%，英國占 5%，著名用戶包括美國聯(lián)合航空公司、Atlassian JIRA、家得寶和惠普。

SonicWall尚未發(fā)現(xiàn)利用該漏洞的攻擊，但已開發(fā)了IPS簽名IPS:4455，以檢測對該問題的任何主動利用。

今年 5 月，研究人員披露了 Apache OFBiz 中的另一個漏洞，即路徑遍歷問題（CVE-2024-32113）。利用這第二個漏洞可導(dǎo)致遠程命令執(zhí)行。

SANS 的研究人員最近發(fā)現(xiàn)，針對 CVE-2024-32113 的攻擊激增。

在今年 5 月份漏洞信息正式公布后，我們一直在等待一些利用 OFBiz 漏洞的掃描的實例出現(xiàn)。雖然易受攻擊和暴露的人群很少，但這段時間一直有攻擊者頻繁進行了攻擊嘗試。

威脅情報公司 GreyNoise 的研究人員也觀察到了利用第二個漏洞的嘗試。去年12 月，SonicWall 專家就曾警告稱，有一個身份驗證繞過零日漏洞被追蹤為 CVE-2023-51467，影響 Apache OfBiz。

攻擊者可以觸發(fā)該漏洞繞過身份驗證，實現(xiàn)簡單的服務(wù)器端請求偽造（SSRF）。今年 1 月，網(wǎng)絡(luò)安全公司 VulnCheck 的研究人員針對該漏洞創(chuàng)建了一個概念驗證（PoC）利用代碼。