Apache OFBiz 滥用弱点修补

关键要点

Apache 修补了其广泛使用的 OFBiz 开源企业资源与规划软件中的一个绕过漏洞。该漏洞可能导致未经身份验证的远程代码执行。研究发现攻击者可以利用缺失的视图授权检查在 OFBiz 服务器上执行任意代码。此次修补更新了之前的多个漏洞，且可能导致服务器完全控制。重要性在于加强身份管理和定期更新，以防止未来的攻击。

Apache 最近修补了其广泛使用的 Apache OFBiz 开源企业资源规划软件中的一个绕过漏洞，该漏洞可能导致 Linux 和 Windows 平台上出现未经身份验证的远程代码执行问题。

在一篇9月5日的博文中，Rapid7 的研究人员解释道，攻击者即使没有有效的凭证，也能利用该网络应用程序中缺失的视图授权检查在 OFBiz 服务器上执行任意代码。

研究人员指出，这一最新的修补针对的是绕过漏洞CVE202445195，这一更新是在修复了三个早先漏洞之后作出的，此前的漏洞分别在五月(CVE202432113)、六月(CVE202436104)和八月(CVE202438856)被修复。编号为 32113 和 38856 的漏洞已经在野外被利用，并被列入美国网络安全和基础设施安全局 (CISA) 的已知被利用漏洞目录。

“总结一下，之前的三个漏洞都是由于相同的根本性问题造成的，即控制器和视图映射状态的不同步，”Rapid7 的研究人员写道。“这个缺陷在任何一个修补中都未得到完全解决。”

该问题由 Rapid7 的首席安全研究员 Ryan Emmons 和几位其他研究人员报告给 Apache OFBiz 团队。Apache 在获悉这一缺陷后立即进行了修补。

攻击者可以利用管理不善的地图状态数据如坐标、图层或元数据来发起注入攻击。Rapid7 的研究人员表示，威胁行为者可能会操纵地图数据以访问仅限管理员视图的地图，从而执行恶意的 SQL 查询或代码。

Critical Start 的网络威胁研究高级经理 Callie Guenther 进一步指出，Apache OFBiz 的漏洞可能使攻击者在不需要凭证的情况下完全控制运行 OFBiz 的服务器，涵盖 Linux 和 Windows 系统。Guenther 是SC Media 的撰稿人，她表示，由于 OFBiz 通常用于管理关键商业运营，包括财务和客户数据，因此数据泄露或系统劫持的潜在风险很高。

白鲸加速器注册

“以往的利用模式表明，这一缺陷可能会被整合到僵尸网络中，例如 Mirai，”Guenther 说道。“安全团队应该优先考虑修补，以缓解这一新兴威胁。”

Entro Security 的联合创始人兼首席执行官 Itzik Alvas 指出，Apache OFBiz 的漏洞清楚地提醒了企业环境中与人类和非人类身份相关的风险。