Các chuyên gia vừa đưa ra cảnh báo về lỗ hổng zero-day ảnh hưởng đến Apache OFBiz, một hệ thống hoạch định nguồn lực doanh nghiệp (ERP) nguồn mở.
Hacker có thể khai thác lỗ hổng (mã theo dõi CVE-2023-51467) để bỏ qua xác thực và thực hiện tấn công giả mạo yêu cầu phía máy chủ (SSRF).
Vấn đề nằm ở chức năng đăng nhập, bắt nguồn từ một bản vá chưa hoàn thiện cho lỗ hổng Pre-auth RCE CVE-2023-49070 (điểm CVSS: 9,8).
Theo các chuyên gia, Apache OFBiz là một phần của chuỗi cung ứng phần mềm phổ biến, chẳng hạn như JIRA của Atlassian (được hơn 120 nghìn công ty sử dụng).
“Giống như nhiều thư viện chuỗi cung ứng, tác động của lỗ hổng sẽ nghiêm trọng nếu bị hacker lợi dụng”, theo báo cáo của SonicWall.
“Lỗ hổng có thể dẫn đến việc lộ thông tin nhạy cảm, thậm chí nguy cơ thực thi mã tùy ý”.
Lỗ hổng đã được Apache OFbiz khắc phục từ phiên bản 18.12.11 trở về sau.
Nguồn: Security Affairs