Açık kaynaklı kurumsal kaynak planlama (ERP) sistemi Apache OFBiz’de, başarılı bir şekilde istismar edilmesi durumunda Linux ve Windows’ta kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek yeni bir güvenlik açığı giderildi.
CVE-2024-45195 (CVSS puanı: 7,5) olarak izlenen yüksek öneme sahip güvenlik açığı, yazılımın 18.12.16’dan önceki tüm sürümlerini etkiliyor.
Rapid7 güvenlik araştırmacısı Ryan Emmons yeni bir raporda, “Geçerli kimlik bilgileri olmayan bir saldırgan, web uygulamasındaki eksik görüntüleme yetkilendirme kontrollerini kullanarak sunucuda keyfi kod yürütüyor” dedi.
CVE-2024-45195’in, proje bakıcıları tarafından son birkaç ayda ele alınan CVE-2024-32113, CVE-2024-36104 ve CVE-2024-38856 adlı bir dizi sorunun atlanması için bir çözüm olduğunu belirtmekte fayda var.
Hem CVE-2024-32113 hem de CVE-2024-38856 o zamandan beri yaygın olarak kullanılıyor ve ilki Mirai botnet kötü amaçlı yazılımını dağıtmak için kullanılıyor.
Rapid7, üç eski eksikliğin de “denetleyicinin senkronizasyonunu bozma ve harita durumunu görüntüleme yeteneğinden” kaynaklandığını ve bu sorunun hiçbir yamada tam olarak giderilmediğini söyledi.
Bu güvenlik açığının bir sonucu olarak saldırganlar tarafından kötüye kullanılarak kimlik doğrulaması olmaksızın uzaktan kod yürütme veya SQL sorguları yürütme olanağı bulunmaktadır.
Uygulanan son yama, “hedef denetleyiciye dayalı yetkilendirme kontrolleri gerçekleştirmek yerine, bir kullanıcının kimliği doğrulanmamışsa görünümün anonim erişime izin vermesi gerektiğini doğruluyor.”
Apache OFBiz sürüm 18.12.16 ayrıca, özel olarak hazırlanmış bir URL’den yararlanarak yetkisiz erişime ve sistem güvenliği ihlaline yol açabilecek kritik bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığını (CVE-2024-45507, CVSS puanı: 9,8) da ele alıyor.