Критична уязвимост в сигурността преди удостоверяване на автентичността за отдалечено изпълнение на код (RCE) в Apache OFBiz може да доведе до кражба на данни, странично движение на заплахи в различни приложения и части от мрежите и др.
Грешката, проследена като CVE-2024-38856, има особено висока CVSS оценка от 9,8, като се има предвид колко въздействаща може да бъде експлоатацията ѝ. Apache OFBiz е система за планиране на ресурсите на предприятието (ERP) с отворен код, която има високо привилегирован достъп до различни бизнес процеси с цел управление и автоматизация на едно място; те могат да включват счетоводство, човешки ресурси, управление на взаимоотношенията с клиентите, управление на поръчките, производство и електронна търговия.
CVE-2024-38856 съществува във функционалността за пренасочване на изгледа и може да позволи на престъпниците да получат достъп до критични крайни точки чрез изработена заявка, според екипа за изследване на заплахи на SonicWall Capture Labs, който откри уязвимостта и сподели подробности за нея с Dark Reading.
За да защитят организациите си, администраторите трябва да обновят внедряванията си до версия 18.12.15 или по-нова.
Според SonicWall клиентите на OFBiz са около 170 и сред тях има някои големи играчи, като Atlassian JIRA, Home Depot, United Airlines и Upwork Global.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.