Apache基金會修補ERP系統OFBiz重大風險漏洞

9月4日Apache基金會發布ERP系統OFBiz新版18.12.16，當中修補重大層級漏洞CVE-2024-45195（CVSS風險評分為9.8），通報此事的研究人員近日公布相關細節。

資安業者Rapid7指出，透過這項漏洞，未經授權的攻擊者能夠從遠端連至Windows或Linux電腦執行任意程式碼，原因是網頁應用程式缺乏檢視授權查核機制造成。

研究人員特別提及，這項漏洞與Apache基金會先前修補的CVE-2024-32113、CVE-2024-36104、CVE-2024-38856（CVSS風險評分為9.1至9.8），發生的根本原因相同，都是控制器與檢視圖解失去同步能力造成，而能讓攻擊者有機會在未通過身分驗證的情況下，執行SQL查詢或是特定程式碼，從而達到遠端執行程式碼攻擊的目的。

值得留意的是，上述漏洞已有部分出現實際攻擊行動。其中在今年5月公布的CVE-2024-32113，8月美國網路安全暨基礎設施安全局（CISA）加入已被利用的漏洞名冊（KEV），SANS網路風暴中心研究人員指出，攻擊者將其用來散布殭屍網路病毒OFBiz，因此，很有可能接下來也會有駭客嘗試利用CVE-2024-45195。

由於CVE-2024-45195能夠繞過Apache基金會針對CVE-2024-32113、CVE-2024-36104、CVE-2024-38856修補的程式碼，IT人員若不處理，潛藏的危險有可能會超過這些漏洞。