Açık kaynaklı bir Kurumsal Kaynak Planlama (ERP) sistemi olan Apache OfBiz’de yeni bir güvenlik açığı keşfedildi.
Apache OfBiz, ağırlıklı olarak çeşitli kuruluşlarda kullanılan Atlassian’ın JIRA’sındaki yazılım tedarik zincirinin bir parçası olarak kullanılmaktadır. Bu güvenlik açığı, daha önce keşfedilen CVE-2023-49070 güvenlik açığına yönelik bir atlamadır.
CVE-2023-49070’in temel sorunu açık bırakıldığı için yama için geçici çözüm olarak bir bypass keşfedildi. Bu yeni güvenlik açığına CVE-2023-51467 atanmış ve önem derecesi 9,8 (Kritik).
Apache OfBiz Sıfır Gün
CVE-2023-49070, artık korunmayan XML-RPC’nin varlığı nedeniyle kimlik doğrulama öncesi bir RCE güvenlik açığıydı. Ancak yayımlanan yama yalnızca kimlik doğrulama bypass’ına açık olan uygulamadan XML RPC kodunu kaldırmakla ilgiliydi.
Test Durumları
Bu güvenlik açığından yararlanmaya yönelik iki test durumu vardı; ilki, URI’de boş USERNAME ve PASSWORD parametreleriyle requirePasswordChange=Y’nin dahil edilmesiyle ilgiliydi.
Oturum açma koşulu bloğunun yanlış yapılandırılması nedeniyle uygulama, checkLogin işlevinin “başarılı” olarak geri dönmesine ve kimlik doğrulamanın atlanmasına yol açtı.
İkinci test durumu, biraz değişen parametrelerle birincisine benziyordu. KULLANICI ADI ve ŞİFRE parametreleri geçersiz değerlerle gönderildi.
Ancak checkLogin işlev akışı koşullu bloğa girmedi ve bu da kimlik doğrulamanın atlanmasına neden oldu.
Bu güvenlik açığının, penetrasyon test uzmanlarının ve güvenlik mühendislerinin uygulamalarında güvenlik açığının bulunup bulunmadığını test etmek için kullanabileceği, halka açık bir istismarı vardır.
Ayrıca SonicWall tarafından bu güvenlik açığı hakkında kod analizi, kullanımı ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Apache OfBiz, 18.12.11 ve daha yeni sürümlerde bu güvenlik açığını giderdi. Bu güvenlik açığının tehdit aktörleri tarafından istismar edilmesini önlemek için Apache OfBiz kullanıcılarının bu yazılımın en son sürümüne yükseltmeleri önerilir.