آپاچی، اخیرا یک آسیب پذیری امنیتی بحرانی را در نرم افزار منبع باز [1]OFBiz خود برطرف کرده است که میتواند به مهاجمان اجازه دهد کد دلخواه را بر روی سرورهای آسیب پذیر لینوکس و ویندوز اجرا کنند.
OFBiz مجموعهای از برنامههای کاربردی مدیریت ارتباط با مشتری ([2]CRM) و برنامه ریزی منابع سازمانی (ERP[3]) است که میتواند به عنوان یک فریمورک وب مبتنی بر جاوا برای توسعه برنامههای کاربردی وب نیز مورد استفاده قرار گیرد.
این آسیب پذیری اجرای کد از راه دور (CVE-2024-45195) توسط محققان امنیتی Rapid7 کشف شده است و ناشی از ضعف Forced browsing است که مسیرهای محدود شده را در معرض حملات درخواست مستقیم تأیید نشده قرار میدهد.
Forced browsing حملهای است که در آن هدف، شمارش و دسترسی به منابعی است که توسط برنامه به آنها ارجاع داده نمیشود، اما همچنان در دسترس هستند.
رایان ایمونز، محقق امنیتی، پنجم سپتامبر ۲۰۲۴ در گزارشی حاوی کد اکسپلویت PoC توضیح داد که “یک مهاجم بدون دادههای لاگین معتبر میتواند از عدم بررسی احراز هویت ومجوزدهی صحیح در برنامه وب برای اجرای کد دلخواه بر روی سرور سوء استفاده کند”.
تیم امنیتی آپاچی این آسیب پذیری را در نسخه ۱۸.۱۲.۱۶ با اضافه کردن بررسیهای مجوزدهی لازم اصلاح کرده است. از این به کاربران OFBiz توصیه میشود برای جلوگیری از حملات احتمالی ، در اسرع وقت نسبت به دریافت پچ اقدام کنند.
[1] Open For Business
[2] customer relationship management
[3] enterprise resource planning
