29.12.2023 | 0day уязвимость CVE-2023-51467 в Apache OfBiz |
В системе Apache OfBiz , широко используемой для планирования ресурсов предприятия ( ERP ), обнаружена критическая zero-day уязвимость. Она позволяет обходить системы аутентификации и подвергает бизнес многих предприятий реальному риску кибератак. Исследовательская группа SonicWall обнаружила уязвимость , получившую обозначение CVE-2023-51467 . Проблема связана с функцией входа в систему и является следствием неполного исправления предыдущей критической уязвимости CVE-2023-49070 , исправление которой было выпущено ранее в этом месяце. CVE-2023-49070 — это уязвимость, позволяющая удалённо выполнять код без аутентификации. Она влияет на версии до 18.12.10 и может привести к полному контролю над сервером и краже конфиденциальных данных. Проблема вызвана устаревшим компонентом XML-RPC в Apache OFBiz. CVE-2023-51467 активируется с помощью пустых или недействительных параметров USERNAME и PASSWORD в HTTP-запросе, что приводит к сообщению об успешной аутентификации. Это позволяет злоумышленникам получить доступ к внутренним ресурсам. Атака зависит от того, что параметр «requirePasswordChange» установлен в положение «Y» (да) в URL, что позволяет обойти аутентификацию независимо от предоставленных данных пользователя и пароля. В американской национальной базе данных уязвимостей ( NVD ) указано, что уязвимость позволяет обходить аутентификацию и приводит к уязвимости для серверной подделки запросов ( SSRF ). Пользователям системы Apache OFbiz настоятельно рекомендуется обновиться до версии 18.12.11 или более новой для устранения потенциальных угроз. |
Проверить безопасность сайта