Apache ERP平台漏洞允許未經身份驗證的遠端程式碼執行

Apache OFBiz目前發現存在一個關鍵的無需身份驗證即可遠端程式碼執行（RCE）的安全漏洞，可能使組織面臨數據竊取、威脅行為者橫向移動到網路的各種應用程式和部分等風險。
 
這個漏洞被追蹤為 CVE-2024-38856，其 CVSS 評分高達 9.8，顯示潛在影響很大。Apache OFBiz 是一個開源的企業資源規劃（ERP）系統，具有高度權限可訪問各種業務流程，用於單一介面管理和自動化；這些流程可能包括會計、人力資源、客戶關係管理、訂單管理、製造和電子商務。
 
根據發現該漏洞的 SonicWall Capture Labs 威脅研究團隊表示，CVE-2024-38856 存在於覆寫視圖(override view )功能中，可允許威脅行為者使用精心設計的請求訪問關鍵端點。
 
為保護組織，管理員應將其實施版本升級到 18.12.15 或更新版本。
 
根據 SonicWall 的資料，OFBiz 客戶約有 170 個，其中包括一些重量級用戶，如 Atlassian JIRA、Home Depot、United Airlines 和 Upwork Global。

本文轉載自Dark Reading。