خطأ Zero-Day الجديد في Apache OFBiz ERP يسمح بتنفيذ التعليمات البرمجية عن بعد

خطأ Zero-Day الجديد في Apache OFBiz ERP يسمح بتنفيذ التعليمات البرمجية عن بعد


06 أغسطس 2024رافي لاكشمانانأمن المؤسسات / الضعف

خطأ Zero-Day الجديد في Apache OFBiz ERP يسمح بتنفيذ التعليمات البرمجية عن بعد

تم الكشف عن ثغرة أمنية جديدة في تنفيذ التعليمات البرمجية عن بُعد للمصادقة المسبقة في يوم صفر في نظام تخطيط موارد المؤسسات (ERP) مفتوح المصدر من Apache OFBiz، والتي يمكن أن تسمح للجهات الفاعلة في مجال التهديد بتنفيذ التعليمات البرمجية عن بُعد في المثيلات المتأثرة.

تتبع باسم CVE-2024-38856، حصل الخلل على درجة CVSS تبلغ 9.8 من أصل 10.0 كحد أقصى. وهو يؤثر على إصدارات Apache OFBiz قبل 18.12.15.

وقالت شركة SonicWall، التي اكتشفت الخلل وأبلغت عنه، في بيان لها: “السبب الجذري للثغرة الأمنية يكمن في خلل في آلية المصادقة”.

الأمن الإلكتروني

“يسمح هذا الخلل لمستخدم لم تتم مصادقته بالوصول إلى الوظائف التي تتطلب عمومًا تسجيل دخول المستخدم، مما يمهد الطريق لتنفيذ التعليمات البرمجية عن بُعد.”

CVE-2024-38856 هو أيضًا تجاوز تصحيح لـ CVE-2024-36104، وهي ثغرة أمنية في اجتياز المسار تمت معالجتها في أوائل يونيو بإصدار 18.12.14.

وصفت شركة SonicWall الخلل بأنه يكمن في وظيفة عرض التجاوز التي تكشف نقاط النهاية المهمة لممثلي التهديد غير المصادقين، الذين يمكنهم الاستفادة منها لتحقيق تنفيذ التعليمات البرمجية عن بعد عبر طلبات معدة خصيصًا.

“تم السماح بالوصول غير المصادق إلى نقطة نهاية ProgramExport عن طريق ربطها بأي نقاط نهاية أخرى لا تتطلب المصادقة عن طريق إساءة استخدام وظيفة عرض التجاوز،” الباحث الأمني ​​حسيب فهورا قال.

الأمن الإلكتروني

يأتي التطوير بمثابة ثغرة أمنية أخرى لاجتياز المسار الحرج في OFBiz والتي قد تؤدي إلى تنفيذ التعليمات البرمجية عن بعد (CVE-2024-32113) منذ ذلك الحين أصبح قيد الاستغلال النشط لنشر شبكة الروبوتات Mirai. تم تصحيحه في مايو 2024.

في ديسمبر 2023، كشفت SonicWall أيضًا عن خلل كان موجودًا آنذاك في نفس البرنامج (CVE-2023-51467) والذي جعل من الممكن تجاوز إجراءات حماية المصادقة. وتعرضت بعد ذلك لعدد كبير من محاولات الاستغلال.

وجدت هذه المادة مثيرة للاهتمام؟ اتبعنا تويتر و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.





Source link

إرسال التعليق

تفقد ما فاتك