Một lỗ hổng thực thi mã từ xa xác thực trước zero-day mới đã được tiết lộ trong hệ thống hoạch định tài nguyên doanh nghiệp nguồn mở (ERP) Apache OFBiz có thể cho phép các tác nhân đe dọa thực thi mã từ xa trên các phiên bản bị ảnh hưởng.
Được theo dõi là CVE-2024-38856, lỗ hổng có điểm CVSS là 9.8 trên tối đa là 10.0. Nó ảnh hưởng đến các phiên bản Apache OFBiz trước 18.12.15.
"Nguyên nhân gốc rễ của lỗ hổng nằm ở một lỗ hổng trong cơ chế xác thực", SonicWall, công ty đã phát hiện và báo cáo thiếu sót, cho biết trong một tuyên bố.
"Lỗ hổng này cho phép người dùng chưa được xác thực truy cập các chức năng thường yêu cầu người dùng đăng nhập, mở đường cho việc thực thi mã từ xa."
CVE-2024-38856 cũng là một bản vá bỏ qua cho CVE-2024-36104, một lỗ hổng path traversal đã được giải quyết vào đầu tháng 6 với việc phát hành 18.12.14.
SonicWall mô tả lỗ hổng nằm trong chức năng xem ghi đè khiến các điểm cuối quan trọng hiển thị các điểm cuối quan trọng cho các tác nhân đe dọa chưa được xác thực, những người có thể tận dụng nó để thực thi mã từ xa thông qua các yêu cầu được tạo đặc biệt.
"Truy cập không được xác thực được cho phép đến điểm cuối ProgramExport bằng cách xâu chuỗi nó với bất kỳ điểm cuối nào khác không yêu cầu xác thực bằng cách lạm dụng chức năng ghi đè chế độ xem", nhà nghiên cứu bảo mật Hasib Vhora cho biết.
Sự phát triển này xảy ra khi một lỗ hổng đường dẫn quan trọng khác trong OFBiz có thể dẫn đến việc thực thi mã từ xa (CVE-2024-32113) đã được khai thác tích cực để triển khai mạng botnet Mirai. Nó đã được vá vào tháng 5 năm 2024.
Vào tháng 12/2023, SonicWall cũng tiết lộ một lỗ hổng zero-day trong cùng một phần mềm (CVE-2023-51467) khiến nó có thể vượt qua các biện pháp bảo vệ xác thực. Sau đó, nó đã phải chịu một số lượng lớn các nỗ lực khai thác.