Uma nova falha de segurança foi corrigida no sistema de planejamento de recursos empresariais (ERP) de código aberto Apache OFBiz que, se explorada com sucesso, pode levar à execução remota de código não autenticado no Linux e no Home windows.
A vulnerabilidade de alta gravidade, rastreada como CVE-2024-45195 (pontuação CVSS: 7,5), afeta todas as versões do software program anteriores a 18.12.16.
“Um invasor sem credenciais válidas explora verificações de autorização de exibição ausentes no aplicativo da internet para executar código arbitrário no servidor”, disse o pesquisador de segurança do Rapid7, Ryan Emmons, em um novo relatório.
Vale ressaltar que CVE-2024-45195 é um desvio para uma sequência de problemas, CVE-2024-32113, CVE-2024-36104 e CVE-2024-38856, que foram resolvidos pelos mantenedores do projeto nos últimos meses.
Tanto o CVE-2024-32113 quanto o CVE-2024-38856 passaram a ser explorados ativamente, com o primeiro sendo utilizado para implantar o malware botnet Mirai.
Rapid7 disse que todas as três deficiências mais antigas decorrem da “capacidade de dessincronizar o controle e visualizar o estado do mapa”, um problema que nunca foi totalmente corrigido em nenhum dos patches.
Uma consequência da vulnerabilidade é que ela pode ser usada indevidamente por invasores para executar código ou consultas SQL e obter execução remota de código sem autenticação.
O patch mais recente implementado “valida que uma visualização deve permitir acesso anônimo se um usuário não estiver autenticado, em vez de realizar verificações de autorização baseadas apenas no controlador de destino”.
O Apache OFBiz versão 18.12.16 também aborda uma vulnerabilidade crítica de falsificação de solicitação do lado do servidor (SSRF) (CVE-2024-45507, pontuação CVSS: 9,8) que pode levar ao acesso não autorizado e ao comprometimento do sistema ao tirar vantagem de uma URL especialmente criada.