香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
資安人科技網
https://activity.twcert.org.tw/2025/index.htm
https://www.informationsecurity.com.tw/seminar/2025_Cloudforce/

新聞

您現在位置 : 首頁  > 新聞

Apache ERP平台漏洞允許未經身份驗證的遠端程式碼執行

2024 / 08 / 06
編輯部
Apache ERP平台漏洞允許未經身份驗證的遠端程式碼執行
Apache OFBiz目前發現存在一個關鍵的無需身份驗證即可遠端程式碼執行(RCE)的安全漏洞,可能使組織面臨數據竊取、威脅行為者橫向移動到網路的各種應用程式和部分等風險。
 
這個漏洞被追蹤為 CVE-2024-38856,其 CVSS 評分高達 9.8,顯示潛在影響很大。Apache OFBiz 是一個開源的企業資源規劃(ERP)系統,具有高度權限可訪問各種業務流程,用於單一介面管理和自動化;這些流程可能包括會計、人力資源、客戶關係管理、訂單管理、製造和電子商務。
 
根據發現該漏洞的 SonicWall Capture Labs 威脅研究團隊表示,CVE-2024-38856 存在於覆寫視圖(override view )功能中,可允許威脅行為者使用精心設計的請求訪問關鍵端點。
 
為保護組織,管理員應將其實施版本升級到 18.12.15 或更新版本。
 
根據 SonicWall 的資料,OFBiz 客戶約有 170 個,其中包括一些重量級用戶,如 Atlassian JIRA、Home Depot、United Airlines 和 Upwork Global。

本文轉載自Dark Reading。
 
橫向移動RCE漏洞ERP

最新活動

2025.11.12
2025.11.14
2025.12.03
2025.11.06
2025.11.06
2025.11.07
2025.11.13
看更多活動

大家都在看

微軟強化檔案總管安全性 封鎖網路下載檔案預覽功能
微軟強化檔案總管安全性 封鎖網路下載檔案預覽功能
微軟緊急發布 Windows Server 修補程式,修復重大 RCE 漏洞
微軟緊急發布 Windows Server 修補程式,修復重大 RCE 漏洞
駭客利用 Cisco 零時差漏洞在網路交換器植入 Rootkit
駭客利用 Cisco 零時差漏洞在網路交換器植入 Rootkit
YouTube 成惡意軟體新戰場 「Ghost Network」分工精細躲避偵測長達四年
YouTube 成惡意軟體新戰場 「Ghost Network」分工精細躲避偵測長達四年
Shadow Escape 零點擊攻擊威脅數兆筆個資 ChatGPT、Claude、Gemini 全面受影響
Shadow Escape 零點擊攻擊威脅數兆筆個資 ChatGPT、Claude、Gemini 全面受影響
資安人科技網


文章推薦

趨勢科技頒發超過100萬美元獎金予道德駭客
趨勢科技頒發超過100萬美元獎金予道德駭客
勒索軟體組織 Qilin 攻擊手法升級,在 Windows 系統部署 Linux 加密程式
勒索軟體組織 Qilin 攻擊手法升級,在 Windows 系統部署 Linux 加密程式
南亞外交機構遭鎖定!SideWinder駭客組織採用全新ClickOnce攻擊手法
南亞外交機構遭鎖定!SideWinder駭客組織採用全新ClickOnce攻擊手法
香港商法蘭克福展覽有限公司台灣分公司 | 110 台北市信義區市民大道六段288號8F | 886-2-8729-1099
Copyright © 2025 Messe Frankfurt (HK) Limited, Taiwan Branch. All right reserved.