🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Phát hiện lỗi zero-day mới trong Apache OFBiz ERP cho phép thực thi mã từ xa mà không cần xác thực

07/08/2024

Một lỗ hổng zero-day mới cho phép thực thi mã từ xa mà không yêu cầu xác thực đã được phát hiện trong hệ thống lập kế hoạch nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz.

Có định danh CVE-2024-38856, lỗ hổng có điểm CVSS là 9,8 trên thang 10. Nó ảnh hưởng đến các phiên bản Apache OFBiz trước 18.12.15.

SonicWall, đơn vị phát hiện và báo cáo lỗ hổng này, cho biết "nguyên nhân gây ra lỗ hổng nằm ở lỗi trong cơ chế xác thực".

"Lỗ hổng này cho phép người dùng chưa xác thực truy cập vào các chức năng thường yêu cầu người dùng phải đăng nhập, tạo điều kiện cho việc thực thi mã từ xa."

CVE-2024-38856 cũng là một trường hợp vượt qua bản vá cho CVE-2024-36104, một lỗ hổng chuyển hướng đã được giải quyết vào đầu tháng 6 với bản phát hành 18.12.14.

SonicWall cho biết lỗ hổng này nằm trong chức năng xem ghi đè (override view), làm lộ các đường dẫn (endpoint) quan trọng, cho phép kẻ tấn công chưa được xác thực lạm dụng để thực thi mã từ xa thông qua các yêu cầu (request) độc hại.

Nhà nghiên cứu bảo mật Hasib Vhora cho biết : "Truy cập không cần xác thực vào endpoint ProgramExport được cho phép bằng cách liên kết nó với bất kỳ endpoint không yêu cầu xác thực bằng cách lạm dụng chức năng override view".

Sự phát triển này diễn ra khi một lỗ hổng đường dẫn quan trọng khác trong OFBiz có thể dẫn đến thực thi mã từ xa (CVE-2024-32113) đã bị khai thác trong thực tế để triển khai botnet Mirai. Nó đã được giải quyết vào tháng 5 năm 2024.

Nguồn: thehackernews.com.

scrolltop