Lỗ hổng RCE nghiêm trọng được tìm thấy trong phần mềm Apache OFBiz ERP.



Nhà sáng lập phần mềm Apache vào thứ Sáu đã giải quyết một lỗ hổng nghiêm trọng cao trong Apache OFBiz, có thể cho phép hacker  chiếm quyền kiểm soát truy cập hệ thống từ xa của open-source enterprise esource lanning (ERP).

Được theo dõi như  là CVE-2021-26295, lỗ hổng này ảnh hưởng đến tất cả các phiên bản của phần mềm trước 17.12.06 và sử dụng “unsafe deserialization” làm một attack vector để cho phép những hacker từ xa trái phép thực thi Arbitrary code trực tiếp lên trên máy chủ.

OFBiz là Java-based-web-framework để tự động hóa các quy trình của doanh nghiệp và cung cấp nhiều chức năng, bao gồm kế toán, quản lý quan hệ khách hàng, quản lý hoạt động sản xuất, quản lý đơn đặt hàng, thực hiện chuỗi cung ứng và hệ thống quản lý kho, cùng nhiều chức năng khác.

Cụ thể, bằng cách khai thác lỗ hổng này, một bên gây hại có thể giả mạo dữ liệu đã được tuần tự hóa để chèn Arbitrary code mà khi được giải mã hóa, có thể dẫn đến việc bị Remote Code Execution.

” Các hacker có thể lợi dụng lỗ hổng này để chiếm lấy Apache OFBiz thành công”, nhà phát triển OFBiz Jacques Le Roux lưu ý.

Unsafe Deserialization là một nguồn tạo ra tính toàn vẹn của dữ liệu và các vấn đề bảo mật khác, với Open Web Application Security Project (OWASP) lưu ý rằng “dữ liệu không đáng tin cậy không đáng nên đặt niềm tin vào, [và rằng] dữ liệu không đúng định dạng hoặc dữ liệu không mong muốn có thể là được sử dụng để lạm dụng Application Logic, Distributed Denial of Service  hoặc thực thi Arbitrary code, khi được giải mã tuần tự hóa.”

r00t4dm tại Cloud-Penetrating Arrow Lab, MagicZero từ SGLAB của Legendsec tại Qi’anxin Group và Longofo tại Knownsec 404 Team đã được ghi nhận là đã báo cáo lỗ hổng.

Bạn nên nâng cấp Apache OFBiz lên phiên bản mới nhất (17.12.06) để giảm thiểu rủi ro liên quan đến lỗ hổng.

nguồn : thehackernew



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật