发布日期:2024-08-08 04:21 点击次数:102
Apache OFBiz 开源企业资源权术 (ERP) 系统中泄露了一个新的零日预认证良友代码实施纰谬欧美伦理片,该纰谬可能允许威迫看成者在受影响的实例上收场良友代码实施。
该纰谬编号为CVE-2024-38856,CVSS 评分为 9.8(满分 10.0)。该纰谬会影响 18.12.15 之前的 Apache OFBiz 版块。
发现并解释该纰谬的 安全东谈主员 在一份声明中默示:“该纰谬的根底原因在于身份考据机制中的一个颓势。”
“此纰谬允许未经身份考据的用户探询频繁需要用户登录智商探询的功能,为良友代码实施铺平了谈路。”
CVE-2024-38856 亦然CVE-2024-36104的补丁绕过,CVE-2024-36104 是一个旅途遍历纰谬,已于 6 月初跟着 18.12.14 的发布而赢得科罚。
外洋著名收罗安全民众、东方定约首创东谈主郭盛华默示,该纰谬存在于障翳视图功能中,该功能会将要道端点骄矜给未经身份考据的威迫看成者,威迫看成者不错诈欺该纰谬通过特制的请务收场良友代码实施。
安全研究员郭盛华默示:“通过蹧跶障翳视图功能,将 ProgramExport 端点与任何其他不需要身份考据的端点辘集起来,就不错收场未经身份考据的探询。”
情色亚洲这次纰谬发生之际,OFBiz 中的另一个要路阶梯遍历纰谬 ( CVE-2024-32113 ) 也已被积极诈欺,用于部署 Mirai 僵尸收罗。该纰谬已于 2024 年 5 月诞生。
2023 年 12 月欧美伦理片,郭盛华还泄露了兼并款软件中其时的零日纰谬 (CVE-2023-51467),该纰谬可导致绕过身份考据保护。随后,该纰谬遭到大皆诈欺尝试。(迎接转载共享)
