Apache OFBiz’deki kritik bir ön kimlik doğrulama uzaktan kod yürütme (RCE) güvenlik açığı, kuruluşları veri hırsızlığına, tehdit aktörlerinin çeşitli uygulamalara ve ağlarının bölümlerine yan hareketlerine ve daha fazlasına maruz bırakabilir.
Hata, şu şekilde izlendi: CVE-2024-38856sömürünün ne kadar etkili olabileceği göz önüne alındığında, 9.8’lik oldukça yüksek bir CVSS puanına sahiptir. Apache OFBiz, tek bölmeli yönetim ve otomasyon amacıyla çeşitli iş süreçlerine oldukça ayrıcalıklı erişime sahip açık kaynaklı bir kurumsal kaynak planlama (ERP) sistemidir; bunlara muhasebe, insan kaynakları, müşteri ilişkileri yönetimi, sipariş yönetimi, üretim ve e-ticaret dahil olabilir.
SonicWall Capture Labs tehdit araştırma ekibinin bu açığı keşfedip ayrıntılarını Dark Reading ile paylaştığına göre, CVE-2024-38856 geçersiz kılma görünümü işlevselliğinde yer alıyor ve tehdit aktörlerinin hazırlanmış bir istek kullanarak kritik uç noktalara erişmesine olanak tanıyabiliyor.
Yöneticiler kuruluşlarını korumak için uygulamalarını 18.12.15 veya daha yeni bir sürüme yükseltmelidir.
OFBiz müşterilerinin sayısı yaklaşık 170’tir ve bunların arasında şunlar gibi önemli isimler de vardır: Atlassian SonicWall’a göre JIRA, Home Depot, United Airlines ve Upwork Global.