Một lỗ hổng zero-day mới cho phép thực thi mã từ xa mà không yêu cầu xác thực đã được phát hiện trong hệ thống lập kế hoạch nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz.
Có định danh CVE-2024-38856, lỗ hổng có điểm CVSS là 9,8 trên thang 10. Nó ảnh hưởng đến các phiên bản Apache OFBiz trước 18.12.15.
SonicWall, đơn vị phát hiện và báo cáo lỗ hổng này, cho biết "nguyên nhân gây ra lỗ hổng nằm ở lỗi trong cơ chế xác thực".
"Lỗ hổng này cho phép người dùng chưa xác thực truy cập vào các chức năng thường yêu cầu người dùng phải đăng nhập, tạo điều kiện cho việc thực thi mã từ xa."
CVE-2024-38856 cũng là một trường hợp vượt qua bản vá cho CVE-2024-36104, một lỗ hổng chuyển hướng đã được giải quyết vào đầu tháng 6 với bản phát hành 18.12.14.
SonicWall cho biết lỗ hổng này nằm trong chức năng xem ghi đè (override view), làm lộ các đường dẫn (endpoint) quan trọng, cho phép kẻ tấn công chưa được xác thực lạm dụng để thực thi mã từ xa thông qua các yêu cầu (request) độc hại.
Nhà nghiên cứu bảo mật Hasib Vhora cho biết : "Truy cập không cần xác thực vào endpoint ProgramExport được cho phép bằng cách liên kết nó với bất kỳ endpoint không yêu cầu xác thực bằng cách lạm dụng chức năng override view".
Sự phát triển này diễn ra khi một lỗ hổng đường dẫn quan trọng khác trong OFBiz có thể dẫn đến thực thi mã từ xa (CVE-2024-32113) đã bị khai thác trong thực tế để triển khai botnet Mirai. Nó đã được giải quyết vào tháng 5 năm 2024.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một lỗi thiết kế trong Windows Smart App Control và SmartScreen cho phép kẻ tấn công khởi chạy chương trình mà không kích hoạt cảnh báo bảo mật đã bị khai thác kể từ ít nhất năm 2018.
Tín nhiệm mạng | Các bản cập nhật bảo mật Android tháng này đã vá 46 lỗ hổng, bao gồm lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng đã bị khai thác trong các cuộc tấn công có chủ đích.
Tín nhiệm mạng | Một chiến dịch ransomware Magniber lớn đang diễn ra, mã hóa thiết bị của người dùng gia đình trên toàn thế giới và yêu cầu khoản tiền chuộc lên đến hàng nghìn đô la.
Tín nhiệm mạng | Twilio cuối cùng đã khai tử ứng dụng Authy dành cho máy tính để bàn, buộc người dùng phải đăng xuất khỏi ứng dụng trên máy tính để bàn của họ.
Tín nhiệm mạng | Một chiến dịch độc hại nhắm vào các thiết bị Android trên toàn thế giới sử dụng hàng nghìn bot Telegram để lây nhiễm phần mềm độc hại đánh cắp tin nhắn SMS vào các thiết bị nhằm đánh cắp các mã xác thực một lần (OTP) cho hơn 600 dịch vụ.
Tín nhiệm mạng | Các tác nhân đe dọa đang khai thác lỗi cấu hình trong Selenium Grid, một framework thử nghiệm ứng dụng web phổ biến, để triển khai công cụ XMRig đã sửa đổi nhằm khai thác tiền điện tử Monero.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
