Обновиться стоит как можно скорее, чтобы избежать утечки корпоративной информации.
В системе Apache OfBiz, широко используемой для планирования ресурсов предприятия (ERP), обнаружена критическая zero-day уязвимость. Она позволяет обходить системы аутентификации и подвергает бизнес многих предприятий реальному риску кибератак.
Исследовательская группа SonicWall обнаружила уязвимость , получившую обозначение CVE-2023-51467 . Проблема связана с функцией входа в систему и является следствием неполного исправления предыдущей критической уязвимости CVE-2023-49070 , исправление которой было выпущено ранее в этом месяце.
CVE-2023-49070 — это уязвимость, позволяющая удалённо выполнять код без аутентификации. Она влияет на версии до 18.12.10 и может привести к полному контролю над сервером и краже конфиденциальных данных. Проблема вызвана устаревшим компонентом XML-RPC в Apache OFBiz.
CVE-2023-51467 активируется с помощью пустых или недействительных параметров USERNAME и PASSWORD в HTTP-запросе, что приводит к сообщению об успешной аутентификации. Это позволяет злоумышленникам получить доступ к внутренним ресурсам.
Атака зависит от того, что параметр «requirePasswordChange» установлен в положение «Y» (да) в URL, что позволяет обойти аутентификацию независимо от предоставленных данных пользователя и пароля.
В американской национальной базе данных уязвимостей (NVD) указано, что уязвимость позволяет обходить аутентификацию и приводит к уязвимости для серверной подделки запросов (SSRF).
Пользователям системы Apache OFbiz настоятельно рекомендуется обновиться до версии 18.12.11 или более новой для устранения потенциальных угроз.
Ладно, не доказали. Но мы работаем над этим