(https://i.postimg.cc/CKNcnSHS/Apache.png) (https://postimages.org/)
Se ha revelado una nueva vulnerabilidad de ejecución remota de código de día cero antes de la autenticación en el sistema de planificación de recursos empresariales (ERP) de código abierto Apache OFBiz que podría permitir a los actores de amenazas ejecutar código remoto en las instancias afectadas.
Identificada como CVE-2024-38856, la falla tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0. Afecta a las versiones de Apache OFBiz anteriores a la 18.12.15.
"La causa principal de la vulnerabilidad radica en un fallo en el mecanismo de autenticación", dijo SonicWall, que descubrió e informó de la deficiencia, en un comunicado.
Esta falla permite que un usuario no autenticado acceda a funcionalidades que generalmente requieren que el usuario esté conectado, allanando el camino para la ejecución remota de código".
CVE-2024-38856 también es una omisión de parche para CVE-2024-36104, una vulnerabilidad de cruce de ruta que se solucionó a principios de junio con el lanzamiento de 18.12.14.
SonicWall describió la falla como residente en la funcionalidad de vista de anulación que expone los puntos finales críticos a actores de amenazas no autenticados, quienes podrían aprovecharla para lograr la ejecución remota de código a través de solicitudes especialmente diseñadas.
"Se permitió el acceso no autenticado al punto final ProgramExport encadenándolo con cualquier otro punto final que no requiera autenticación mediante el abuso de la funcionalidad de vista de anulación", dijo el investigador de seguridad Hasib Vhora.
El desarrollo se produce cuando otra vulnerabilidad de cruce de ruta crítica en OFBiz que podría resultar en la ejecución remota de código (CVE-2024-32113) ha sido explotada activamente para implementar la botnet Mirai. Fue parcheada en mayo de 2024.
En diciembre de 2023, SonicWall también reveló una falla de día cero en el mismo software (CVE-2023-51467) que hizo posible eludir las protecciones de autenticación. Posteriormente fue objeto de una gran cantidad de intentos de explotación.
Fuente:
The Hacker News
https://thehackernews.com/2024/08/new-zero-day-flaw-in-apache-ofbiz-erp.html