Überschrift: Neue Zero-Day-Schwachstelle in Apache OFBiz ERP ermöglicht Remote-Code-Ausführung
Eine neue Zero-Day-Schwachstelle für die Remote-Code-Ausführung vor der Authentifizierung wurde im Apache OFBiz Open-Source-Enterprise-Resource-Planning (ERP)-System bekannt gegeben, die es Angreifern ermöglichen könnte, auf betroffenen Instanzen eine Remote-Code-Ausführung zu erreichen.
Die Schwachstelle mit der Bezeichnung CVE-2024-38856 hat einen CVSS-Score von 9,8 von maximal 10,0. Betroffen sind Apache OFBiz-Versionen vor 18.12.15.
“Die Ursache der Schwachstelle liegt in einem Fehler im Authentifizierungsmechanismus”, sagte SonicWall, das die Schwachstelle entdeckt und gemeldet hat.
“Dieser Fehler ermöglicht es einem nicht authentifizierten Benutzer, auf Funktionen zuzugreifen, für die normalerweise eine Anmeldung erforderlich ist, und ebnet so den Weg für die Remote-Code-Ausführung.”
CVE-2024-38856 ist auch ein Patch-Bypass für CVE-2024-36104, eine Schwachstelle für den Pfadtraversal, die Anfang Juni mit der Veröffentlichung von 18.12.14 behoben wurde.
SonicWall beschrieb die Schwachstelle als in der Funktion “Override View” vorhanden, die kritische Endpunkte für nicht authentifizierte Angreifer freilegt, die sie nutzen könnten, um über speziell erstellte Anfragen eine Remote-Code-Ausführung zu erreichen.
“Unauthentifizierter Zugriff wurde auf den ProgramExport-Endpunkt erlaubt, indem er mit anderen Endpunkten verkettet wurde, die keine Authentifizierung erfordern, indem die Funktion ‘Override View’ missbraucht wurde”, sagte der Sicherheitsforscher Hasib Vhora.
Die Entwicklung erfolgt, nachdem eine weitere kritische Schwachstelle für den Pfadtraversal in OFBiz, die zu Remote-Code-Ausführung führen könnte (CVE-2024-32113), aktiv ausgenutzt wurde, um das Mirai-Botnetz zu implementieren. Sie wurde im Mai 2024 gepatcht.
Im Dezember 2023 hat SonicWall auch eine damalige Zero-Day-Schwachstelle in derselben Software (CVE-2023-51467) bekannt gegeben, die es ermöglichte, Authentifizierungsschutzmaßnahmen zu umgehen. Sie wurde anschließend einer großen Anzahl von Ausbeutungsversuchen ausgesetzt.
Quelle: https://ift.tt/tI6sybR