خانه » آپاچی، آسیب پذیری بحرانی اجرای کد از راه دور را در نرم افزار OFBiz برطرف کرد

آپاچی، آسیب پذیری بحرانی اجرای کد از راه دور را در نرم افزار OFBiz برطرف کرد

توسط Vulnerbyte
54 بازدید
آسیب پذیری بحرانی در نرم افزار OFBiz

آپاچی، اخیرا یک آسیب پذیری امنیتی بحرانی را در نرم افزار منبع باز [1]OFBiz خود برطرف کرده است که می‌تواند به مهاجمان اجازه دهد کد دلخواه را بر روی سرورهای آسیب پذیر لینوکس و ویندوز اجرا کنند.

OFBiz مجموعه‌ای از برنامه‌های کاربردی مدیریت ارتباط با مشتری ([2]CRM) و برنامه ریزی منابع سازمانی (ERP[3]) است که می‌تواند به عنوان یک فریمورک وب مبتنی بر جاوا برای توسعه برنامه‌های کاربردی وب نیز مورد استفاده قرار گیرد.

این آسیب پذیری اجرای کد از راه دور (CVE-2024-45195) توسط محققان امنیتی Rapid7 کشف شده است و ناشی از ضعف Forced browsing است که مسیرهای محدود شده را در معرض حملات درخواست مستقیم تأیید نشده قرار می‌دهد.

Forced browsing حمله‌ای است که در آن هدف، شمارش و دسترسی به منابعی است که توسط برنامه به آنها ارجاع داده نمی‌شود، اما همچنان در دسترس هستند.

رایان ایمونز، محقق امنیتی، پنجم سپتامبر ۲۰۲۴ در گزارشی حاوی کد اکسپلویت PoC توضیح داد که “یک مهاجم بدون داده‌های لاگین معتبر می‌تواند از عدم بررسی‌ احراز هویت ومجوزدهی صحیح در برنامه وب برای اجرای کد دلخواه بر روی سرور سوء استفاده کند”.

تیم امنیتی آپاچی این آسیب پذیری را در نسخه ۱۸.۱۲.۱۶ با اضافه کردن بررسی‌های مجوزدهی لازم اصلاح کرده است. از این به کاربران OFBiz توصیه می‌شود برای جلوگیری از حملات احتمالی ، در اسرع وقت نسبت به دریافت پچ اقدام کنند.

 

[1] Open For Business

[2] customer relationship management

[3] enterprise resource planning

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید