近日，研究人員發(fā)現(xiàn) Apache OFBiz 中存在一個(gè)新的關(guān)鍵漏洞，該漏洞是 Apache OFBiz 中的一個(gè)錯(cuò)誤授權(quán)問(wèn)題，被追蹤為CVE-2024-38856。該漏洞影響 18.12.14 之前的版本，18.12.15 版本解決了該漏洞。

SonicWall 的安全研究員 Hasib Vhora 與其他安全專家在公告中寫(xiě)道：如果滿足某些先決條件，如屏幕定義沒(méi)有明確檢查用戶的權(quán)限，因?yàn)樗鼈円蕾囉诮K端的配置，那么未經(jīng)驗(yàn)證的終端可能允許執(zhí)行屏幕的屏幕渲染代碼。

SonicWall Capture Labs 威脅研究團(tuán)隊(duì)在 Apache OFBiz 中發(fā)現(xiàn)了一個(gè)驗(yàn)證前遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞被追蹤為 CVE-2024-38856，CVSS 得分為 9.8。這是 SonicWall 最近幾個(gè)月在 Apache OFBiz 中發(fā)現(xiàn)的第二個(gè)重大漏洞，第一個(gè)是在 2023 年 12 月。Vhora 寫(xiě)道：這一次，覆蓋視圖功能中的一個(gè)漏洞將關(guān)鍵端點(diǎn)暴露給了使用偽造請(qǐng)求的未經(jīng)驗(yàn)證的威脅行為者，為遠(yuǎn)程代碼執(zhí)行鋪平了道路。該漏洞影響 Apache OFBiz 18.12.14 及以下版本，強(qiáng)烈建議用戶立即升級(jí)到 18.12.15 或更新版本。

該問(wèn)題源于身份驗(yàn)證機(jī)制中的一個(gè)漏洞，它允許未經(jīng)身份驗(yàn)證的用戶訪問(wèn)通常僅限已登錄用戶使用的功能，從而可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。Apache OFBiz 是一個(gè)開(kāi)源 ERP 系統(tǒng)，可幫助企業(yè)自動(dòng)化和集成會(huì)計(jì)、人力資源、客戶關(guān)系管理、訂單管理、制造和電子商務(wù)等各種流程。全球有數(shù)百家公司使用該系統(tǒng)，其中美國(guó)占 41%，印度占 19%，德國(guó)占 7%，法國(guó)占 6%，英國(guó)占 5%，著名用戶包括美國(guó)聯(lián)合航空公司、Atlassian JIRA、家得寶和惠普。

SonicWall尚未發(fā)現(xiàn)利用該漏洞的攻擊，但已開(kāi)發(fā)了IPS簽名IPS:4455，以檢測(cè)對(duì)該問(wèn)題的任何主動(dòng)利用。

今年 5 月，研究人員披露了 Apache OFBiz 中的另一個(gè)漏洞，即路徑遍歷問(wèn)題（CVE-2024-32113）。利用這第二個(gè)漏洞可導(dǎo)致遠(yuǎn)程命令執(zhí)行。

SANS 的研究人員最近發(fā)現(xiàn)，針對(duì) CVE-2024-32113 的攻擊激增。

在今年 5 月份漏洞信息正式公布后，我們一直在等待一些利用 OFBiz 漏洞的掃描的實(shí)例出現(xiàn)。雖然易受攻擊和暴露的人群很少，但這段時(shí)間一直有攻擊者頻繁進(jìn)行了攻擊嘗試。

威脅情報(bào)公司 GreyNoise 的研究人員也觀察到了利用第二個(gè)漏洞的嘗試。去年12 月，SonicWall 專家就曾警告稱，有一個(gè)身份驗(yàn)證繞過(guò)零日漏洞被追蹤為 CVE-2023-51467，影響 Apache OfBiz。

攻擊者可以觸發(fā)該漏洞繞過(guò)身份驗(yàn)證，實(shí)現(xiàn)簡(jiǎn)單的服務(wù)器端請(qǐng)求偽造（SSRF）。今年 1 月，網(wǎng)絡(luò)安全公司 VulnCheck 的研究人員針對(duì)該漏洞創(chuàng)建了一個(gè)概念驗(yàn)證（PoC）利用代碼。