Apache je izdao zakrpu za kritičnu ranjivost u softvera otvorenog koda OFBiz (Open For Business), koja bi napadačima mogla omogućiti izvršavanje proizvoljnog koda na ranjivim Linux i Windows poslužiteljima.

OFBiz je paket poslovnih aplikacija za upravljanje odnosima s kupcima (CRM) i planiranje poslovnih resursa (ERP) koji se također može koristiti kao framework, temeljen na Javi, za razvoj web aplikacija.

Ranjivost je dobila oznaku CVE-2024-45195, a otkrili su je istraživači iz Rapid7. Ova ranjivost napadačima omogućuje da neautentificiranim izravnim zahtjevima pristupe ograničenim resursima.

„Napadač bez valjanih vjerodajnica može iskoristiti nepostojanje provjere autorizacije pregleda u web aplikaciji za izvršavanje proizvoljnog kôda na poslužitelju“ – Ryan Emmons vodeći istraživač u Rapid7.

Ovom zakrpom se rješavaju još tri ranjivosti (CVE-2024-32113, CVE-2024-36104, CVE-2024-38856), a sve su imale ishodište u istom problemu.

Rapid7 je izdao i izvješće u kojem su detaljnije opisali ranjivosti, a možete ga pročitati na poveznici: https://www.rapid7.com/blog/post/2024/09/05/cve-2024-45195-apache-ofbiz-unauthenticated-remote-code-execution-fixed/

Izvor: https://www.bleepingcomputer.com/