Son beş ayda dördüncü kez, Apache OFBiz kullanıcılarına, kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek kritik bir açığı (CVE-2024-45195) gidermek için kurulumlarını yükseltmeleri önerildi.
CVE-2024-45195 Hakkında
Apache OFBiz, insan kaynakları yönetimi, müşteri ilişkileri yönetimi, muhasebe, pazarlama vb. için web uygulamaları içeren, kurumsal kaynak planlama (ERP) için açık kaynaklı bir pakettir.
Rapid7 araştırmacısı Ryan Emmons, “Apache OFBiz çok sayıda büyük kuruluş tarafından kullanılıyor ve daha önce açıklanan güvenlik açıkları yaygın olarak kullanılıyor” dedi.
CVE-2024-45195, Emmons ve diğer birkaç araştırmacı tarafından rapor edilmiş olup, doğrudan bir istek kusurudur; yani, web uygulamasının yetkilendirme kontrollerini yetersiz bir şekilde uygulamasından kaynaklanan bir güvenlik açığıdır.
Bu durum Apache OFBiz’in v18.12.16 öncesi sürümlerini etkiler ve kimliği doğrulanmamış saldırganlar tarafından temeldeki Windows veya Linux sunucusunda keyfi kod çalıştırmak için kullanılabilir.
Araştırmacılar sömürüyü gösteriyor
“Sömürü [of CVE-2024-45195] Emmons, “CVE-2024-32113, CVE-2024-36104 ve CVE-2024-38856 için önceki yamaların atlanmasıyla kolaylaştırılıyor” diye açıkladı.
CVE-2024-32113 ve CVE-2024-36104 yama geçiş kusurları olarak kategorize edilirken, CVE-2024-38856 ise yanlış yetkilendirme sorunu olarak kategorize edildi (SonicWall’un Capture Labs araştırmacıları tarafından açıklandığı gibi).
Rapid7’nin analizine göre, tüm bu güvenlik açıkları esasen aynı ve aynı temel nedene sahip: Uygulamanın denetleyicisinin ve görünüm haritasının parçalanmış durumu.
Ne yazık ki, üç kusur için yamalar eksikti ve Rapid7 araştırmacıları denetleyici görünümü harita durumunun senkronizasyonunu kaldırabildiler, böylece Apache OFBiz tarafından depolanan tüm kullanıcı adlarını, parolaları ve kredi kartı numaralarını web üzerinden erişilebilen bir dizine aktarabildiler, ayrıca uzaktan kod yürütmeyi de başardılar.
CVE-2024-45195, sunucu taraflı istek sahteciliği (SSRF) kod enjeksiyonu güvenlik açığı olan CVE-2024-45507 ile birlikte Apache OFBiz sürüm 18.12.16’da düzeltildi.