Apache OFBiz vá lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.

Lỗ hổng được gắn mã định danh CVE-2024-45195 với điểm CVSS là 7.5, ảnh hưởng đến tất cả các phiên bản Apache OFBiz trước phiên bản 18.12.16. Điều này đồng nghĩa với việc kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã tùy ý mà không cần có thông tin xác thực hợp lệ. Cụ thể, lỗ hổng khai thác sự thiếu sót trong kiểm tra quyền truy cập của ứng dụng web, cho phép tin tặc thực thi mã trên máy chủ.

Bản vá mới nhất của Apache OFBiz đã khắc phục vấn đề này bằng cách “xác thực rằng quyền truy cập ẩn danh chỉ được phép khi người dùng chưa được xác thực, thay vì dựa trên các kiểm tra bộ điều khiển mục tiêu”. Phiên bản 18.12.16 cũng bao gồm bản vá cho một lỗ hổng nghiêm trọng khác là CVE-2024-45507 (điểm CVSS: 9.8), một dạng làm giả yêu cầu phía máy chủ (SSRF) có thể bị lợi dụng để truy cập trái phép và tấn công hệ thống thông qua các URL được tạo đặc biệt.

Với việc khắc phục các lỗ hổng này, phiên bản mới của Apache OFBiz đã cải thiện đáng kể khả năng bảo mật và giảm thiểu rủi ro cho các doanh nghiệp sử dụng phần mềm này.