Tổ chức Phần mềm Apache vào thứ Sáu đã giải quyết một lỗ hổng nghiêm trọng cao trong Apache OFBiz có thể cho phép một kẻ thù không được xác thực chiếm quyền kiểm soát từ xa hệ thống hoạch định nguồn lực doanh nghiệp (ERP) nguồn mở.
Được đặt tên là CVE-2021-26295, lỗ hổng này ảnh hưởng đến tất cả các phiên bản phần mềm trước ngày 17.12.06 và sử dụng “giải tuần tự hóa không an toàn” làm vectơ tấn công để cho phép kẻ tấn công từ xa trái phép thực thi trực tiếp mã tùy ý trên máy chủ.
OFBiz là một khung web dựa trên Java để tự động hóa các quy trình doanh nghiệp và cung cấp nhiều chức năng, bao gồm kế toán, quản lý quan hệ khách hàng, quản lý hoạt động sản xuất, quản lý đơn đặt hàng, thực hiện chuỗi cung ứng và hệ thống quản lý kho, cùng nhiều chức năng khác.
Cụ thể, bằng cách khai thác lỗ hổng này, một bên độc hại có thể giả mạo dữ liệu được tuần tự hóa để chèn mã tùy ý, khi được giải tuần tự hóa, có khả năng dẫn đến thực thi mã từ xa.
“Kẻ tấn công không được xác thực có thể sử dụng lỗ hổng này để chiếm đoạt thành công Apache OFBiz,” nhà phát triển OFBiz Jacques Le Roux lưu ý.
Giải tuần tự hóa không an toàn là nguồn gốc của tính toàn vẹn dữ liệu và các vấn đề bảo mật khác, với Dự án bảo mật ứng dụng web mở (OWASP) lưu ý rằng “dữ liệu không đáng tin cậy không thể được tin cậy để được định dạng tốt, [and that] dữ liệu không đúng định dạng hoặc dữ liệu không mong muốn có thể được sử dụng để lạm dụng logic ứng dụng, từ chối dịch vụ hoặc thực thi mã tùy ý khi được giải tuần tự hóa.”
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
r00t4dm tại Cloud-Penetrating Arrow Lab, MagicZero từ SGLAB of Legendsec tại Qi’anxin Group và Longofo tại Knownsec 404 Team đã được ghi nhận là đã báo cáo lỗ hổng bảo mật.
Bạn nên nâng cấp Apache OFBiz lên phiên bản mới nhất (17.12.06) để giảm thiểu rủi ro liên quan đến lỗ hổng.
