9月4日Apache基金会发布ERP系统OFBiz新版18.12.16,其中修补重大层级漏洞CVE-2024-45195(CVSS风险评分为9.8),通报此事的研究人员近日公布相关细节。
安全企业Rapid7指出,通过这项漏洞,未经授权的攻击者能够从远程连至Windows或Linux计算机执行任意程序代码,原因是网页应用程序缺乏查看授权核实机制造成。
研究人员特别提及,这项漏洞与Apache基金会先前修补的CVE-2024-32113、CVE-2024-36104、CVE-2024-38856(CVSS风险评分为9.1至9.8),发生的根本原因相同,都是控制器与查看图解失去同步能力造成,而能让攻击者有机会在未通过身份验证的情况下,执行SQL查询或是特定程序代码,从而达到远程执行程序代码攻击的目的。
值得留意的是,上述漏洞已有部分出现实际攻击行动。其中在今年5月公布的CVE-2024-32113,8月美国网络安全暨基础设施安全局(CISA)加入已被利用的漏洞名册(KEV),SANS网络风暴中心研究人员指出,攻击者将其用来传播僵尸网络病毒OFBiz,因此,很有可能接下来也会有黑客尝试利用CVE-2024-45195。
由于CVE-2024-45195能够绕过Apache基金会针对CVE-2024-32113、CVE-2024-36104、CVE-2024-38856修补的程序代码,IT人员若不处理,潜藏的危险有可能会超过这些漏洞。
