Uma nova vulnerabilidade de execução remota de código de pré-autenticação de dia zero foi divulgada no sistema de planejamento de recursos empresariais (ERP) de código aberto Apache OFBiz, o que pode permitir que agentes de ameaças obtenham execução remota de código em instâncias afetadas.
Rastreado como CVE-2024-38856a falha tem uma pontuação CVSS de 9,8 de um máximo de 10,0. Ela afeta versões do Apache OFBiz anteriores a 18.12.15.
“A causa raiz da vulnerabilidade está em uma falha no mecanismo de autenticação”, disse a SonicWall, que descobriu e relatou a falha, em um comunicado.
“Essa falha permite que um usuário não autenticado acesse funcionalidades que geralmente exigem que o usuário esteja logado, abrindo caminho para a execução remota de código.”
CVE-2024-38856 também é um desvio de patch para CVE-2024-36104, uma vulnerabilidade de travessia de caminho que foi corrigida no início de junho com o lançamento de 18.12.14.
A SonicWall descreveu a falha como residindo na funcionalidade de visualização de substituição que expõe endpoints críticos a agentes de ameaças não autenticados, que poderiam aproveitá-la para obter execução remota de código por meio de solicitações especialmente elaboradas.
“O acesso não autenticado foi permitido ao endpoint ProgramExport ao encadeá-lo com quaisquer outros endpoints que não exigem autenticação, abusando da funcionalidade de visualização de substituição”, disse o pesquisador de segurança Hasib Vhora.
O desenvolvimento vem como outra vulnerabilidade crítica de travessia de caminho no OFBiz que pode resultar em execução remota de código (CVE-2024-32113) que desde então passou a ser explorada ativamente para implantar o botnet Mirai. Foi corrigido em maio de 2024.
Em dezembro de 2023, a SonicWall também divulgou uma falha de dia zero no mesmo software program (CVE-2023-51467) que tornou possível contornar as proteções de autenticação. Posteriormente, foi submetido a um grande número de tentativas de exploração.
