Apache OFBiz vá lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

14:00 | 11/09/2024 | LỖ HỔNG ATTT

Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.

Apache OFBiz vá lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

Lỗ hổng được gắn mã định danh CVE-2024-45195 với điểm CVSS là 7.5, ảnh hưởng đến tất cả các phiên bản OFBiz trước phiên bản 18.12.16. Điều này đồng nghĩa với việc kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã tùy ý mà không cần có thông tin xác thực hợp lệ. Cụ thể, lỗ hổng khai thác sự thiếu sót trong kiểm tra quyền truy cập của ứng dụng web, cho phép tin tặc thực thi mã trên máy chủ.

mới nhất của Apache OFBiz đã khắc phục vấn đề này bằng cách “xác thực rằng quyền truy cập ẩn danh chỉ được phép khi người dùng chưa được xác thực, thay vì dựa trên các kiểm tra bộ điều khiển mục tiêu”. Phiên bản 18.12.16 cũng bao gồm bản vá cho một khác là CVE-2024-45507 (điểm CVSS: 9.8), một dạng làm giả yêu cầu phía máy chủ (SSRF) có thể bị lợi dụng để truy cập trái phép và tấn công hệ thống thông qua các URL được tạo đặc biệt.

Với việc khắc phục các lỗ hổng này, phiên bản mới của Apache OFBiz đã cải thiện đáng kể khả năng bảo mật và giảm thiểu rủi ro cho các doanh nghiệp sử dụng phần mềm này.

Phong Thu

‹ › ×

Tin liên quan

Khóa mặc định không an toàn của Apache Superset gây ảnh hưởng hàng nghìn hệ thống

16:00 | 12/05/2023

Cho đến đầu năm nay, ứng dụng phần mềm mã nguồn mở Apache Superset vẫn xuất xưởng với cấu hình mặc định không an toàn mà kẻ xấu có thể khai thác để đăng nhập và chiếm lấy ứng dụng trực quan hóa dữ liệu, đánh cắp dữ liệu và thực thi mã độc.

Apache Flume vá lỗ hổng thực thi mã từ xa CVE-2022-34916

13:00 | 26/08/2022

Apache Flume vừa phát hành bản vá cho lỗ hổng thực thi mã từ xa định danh CVE-2022-34916. Nhà nghiên cứu Frentzen Amaral là người đã báo cáo lỗ hổng này.

Nguy cơ tấn công có chủ đích thông qua lỗ hổng trên Apache Spark

09:00 | 09/08/2022

Mới đây, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) đưa ra cảnh báo về một lỗ hổng nghiêm trọng trên Apache Spark định danh CVE 2022-33819 có điểm CVSS 8.8.

Tin cùng chuyên mục

Hơn 4.000 website bán hàng trực tuyến sử dụng Adobe Commerce, Magento là mục tiêu của các cuộc tấn công mạng

17:00 | 10/10/2024

Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.

Công ty cung cấp dịch vụ chuyển tiền và thanh toán quốc tế MoneyGram bị tấn công mạng

10:00 | 01/10/2024

MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.

Tăng gấp 30 lần số tài khoản lộ, lọt thông tin ở Việt Nam trong 3 năm

15:00 | 04/08/2024

Báo cáo của hãng Kaspersky được đưa ra tại chương trình “Tập huấn mô phỏng bảo vệ tương tác của Kaspersky (KIPS)” nhằm hỗ trợ doanh nghiệp chủ động ứng phó với các mối đe dọa phức tạp và không ngừng gia tăng trong bối cảnh kỹ thuật số cho thấy số tài khoản lộ lọt do nhiễm mã độc tại Việt Nam trong những năm gần đây gia tăng đột biến, năm 2023 gấp 31 lần so với năm 2020.

Bản cập nhật bảo mật tháng 7 khiến nhiều máy tính Windows bị sự cố

09:00 | 02/08/2024

Chỉ vài ngày sau khi một lỗi trong phần mềm CrowdStrike khiến 8,5 triệu máy tính Windows bị sập, người dùng hệ điều hành này lại đang phải đối mặt với một vấn đề mới sau khi cài đặt bản cập nhật bảo mật tháng 7.