خطأ Zero-Day الجديد في Apache OFBiz ERP يسمح بتنفيذ التعليمات البرمجية عن بعد
تم الكشف عن ثغرة أمنية جديدة في تنفيذ التعليمات البرمجية عن بُعد للمصادقة المسبقة في يوم صفر في نظام تخطيط موارد المؤسسات (ERP) مفتوح المصدر من Apache OFBiz، والتي يمكن أن تسمح للجهات الفاعلة في مجال التهديد بتنفيذ التعليمات البرمجية عن بُعد في المثيلات المتأثرة.
تتبع باسم CVE-2024-38856، حصل الخلل على درجة CVSS تبلغ 9.8 من أصل 10.0 كحد أقصى. وهو يؤثر على إصدارات Apache OFBiz قبل 18.12.15.
وقالت شركة SonicWall، التي اكتشفت الخلل وأبلغت عنه، في بيان لها: “السبب الجذري للثغرة الأمنية يكمن في خلل في آلية المصادقة”.
“يسمح هذا الخلل لمستخدم لم تتم مصادقته بالوصول إلى الوظائف التي تتطلب عمومًا تسجيل دخول المستخدم، مما يمهد الطريق لتنفيذ التعليمات البرمجية عن بُعد.”
CVE-2024-38856 هو أيضًا تجاوز تصحيح لـ CVE-2024-36104، وهي ثغرة أمنية في اجتياز المسار تمت معالجتها في أوائل يونيو بإصدار 18.12.14.
وصفت شركة SonicWall الخلل بأنه يكمن في وظيفة عرض التجاوز التي تكشف نقاط النهاية المهمة لممثلي التهديد غير المصادقين، الذين يمكنهم الاستفادة منها لتحقيق تنفيذ التعليمات البرمجية عن بعد عبر طلبات معدة خصيصًا.
“تم السماح بالوصول غير المصادق إلى نقطة نهاية ProgramExport عن طريق ربطها بأي نقاط نهاية أخرى لا تتطلب المصادقة عن طريق إساءة استخدام وظيفة عرض التجاوز،” الباحث الأمني حسيب فهورا قال.
يأتي التطوير بمثابة ثغرة أمنية أخرى لاجتياز المسار الحرج في OFBiz والتي قد تؤدي إلى تنفيذ التعليمات البرمجية عن بعد (CVE-2024-32113) منذ ذلك الحين أصبح قيد الاستغلال النشط لنشر شبكة الروبوتات Mirai. تم تصحيحه في مايو 2024.
في ديسمبر 2023، كشفت SonicWall أيضًا عن خلل كان موجودًا آنذاك في نفس البرنامج (CVE-2023-51467) والذي جعل من الممكن تجاوز إجراءات حماية المصادقة. وتعرضت بعد ذلك لعدد كبير من محاولات الاستغلال.
إرسال التعليق