
Kelemahan keamanan baru telah diatasi dalam sistem perencanaan sumber daya perusahaan (ERP) sumber terbuka Apache OFBiz yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh yang tidak diautentikasi pada Linux dan Windows.
Kerentanan dengan tingkat keparahan tinggi, dilacak sebagai CVE-2024-45195 (skor CVSS: 7.5), memengaruhi semua versi perangkat lunak sebelum 18.12.16.

“Seorang penyerang tanpa kredensial yang valid mengeksploitasi pemeriksaan otorisasi tampilan yang hilang dalam aplikasi web untuk mengeksekusi kode sembarangan pada server,” kata peneliti keamanan Rapid7 Ryan Emmons dalam laporan baru.
Perlu dicatat bahwa CVE-2024-45195 merupakan jalan pintas untuk serangkaian masalah, CVE-2024-32113, CVE-2024-36104, dan CVE-2024-38856, yang telah diatasi oleh pengelola proyek selama beberapa bulan terakhir.
Baik CVE-2024-32113 maupun CVE-2024-38856 kini telah dieksploitasi secara aktif, dengan yang pertama dimanfaatkan untuk menyebarkan malware botnet Mirai.
Rapid7 mengatakan ketiga kekurangan lama tersebut bersumber dari “kemampuan untuk melakukan desinkronisasi antara pengontrol dan melihat status peta,” sebuah masalah yang tidak pernah sepenuhnya diperbaiki dalam patch mana pun.
Konsekuensi dari kerentanan ini adalah kerentanan tersebut dapat disalahgunakan oleh penyerang untuk mengeksekusi kode atau pertanyaan SQL dan mencapai eksekusi kode jarak jauh tanpa autentikasi.
Patch terbaru yang diterapkan “memvalidasi bahwa tampilan harus mengizinkan akses anonim jika pengguna tidak diautentikasi, daripada melakukan pemeriksaan otorisasi murni berdasarkan pengontrol target.”

Apache OFBiz versi 18.12.16 juga mengatasi kerentanan pemalsuan permintaan sisi server (SSRF) kritis (CVE-2024-45507, skor CVSS: 9.8) yang dapat menyebabkan akses tidak sah dan kompromi sistem dengan memanfaatkan URL yang dibuat khusus.