Apache OFBiz 是一个帮助行业管理其运营的系统,例如客户关系、人力资源职能、订单处理和仓库管理。大约 170 家公司使用 Apache OFBiz,其中 41% 在美国。据该平台网站称,其中包括联合航空公司、家得宝和 HP Development 等大佬。
该漏洞被跟踪为 CVE-2024-38856,在 CVSS 漏洞严重性量表上得分为 9.8 分(满分 10 分),因为它允许身份验证前远程代码执行 (RCE)。CISA 的举措是在 8 月初漏洞披露后向公众提供概念验证 (PoC) 漏洞之后采取的。
组织应更新到版本 18.12.15 以缓解威胁。联邦民事行政部门 (FCEB) 机构已获得 9 月 17 日的截止日期。
一个漏洞导致另一个漏洞CVE-2024-38856 最初是由 SonicWall 的研究人员于本月早些时候发现的,当时他们正在分析平台中的另一个 RCE 漏洞 CVE-2024-36104。
CVE-2024-36104 允许远程攻击者访问系统目录,因为对用户请求的验证不充分。特别是由于 ControlServlet 和 RequestHandler 函数在收到相同的请求后接收不同的要处理的端点。如果运行正常,则两者都应获得相同的端点进行处理。
在测试 CVE-2024-36104 补丁时,研究人员发现了下一个漏洞 CVE-2024-38856,该漏洞允许通过 ProgramExport 端点进行未经身份验证的访问,这可能会启用任意代码执行,应予以限制。
避免漏洞利用在一篇博文中,SonicWall 研究人员提供了一个攻击链示例,其中威胁行为者可以使用以下输入来利用 CVE-2024-38856,然后获得后续输出:
“POST /webtools/control/forgotPassword/ProgramExport HTTP/1.1
groovyProgram=throw new 异常 (’whoami’ .execute () .text) ;”
其他可用于利用 CVE-2024-36104 的 URL 包括:
POST /webtools/control/forgotPassword/ProgramExport
发布 /webtools/control/showDateTime/ProgramExport
POST /webtools/control/TestService/ProgramExport
发布 /webtools/control/view/ProgramExport
发布 /webtools/control/main/ProgramExport
此漏洞会影响 Apache OFBiz 18.12.14 之前的所有版本,并且没有可用的临时补丁;用户和组织必须升级到最新版本,以防止漏洞被潜在利用。
Zscaler 的研究人员本月早些时候还分析了该漏洞,他表示,未能及时升级可能会“使威胁行为者能够操纵登录参数并在目标服务器上执行任意代码” ,尤其是在攻击者越来越多地利用公开披露的 PoC 漏洞利用漏洞的情况下。
11010802020318 )
发表于 2024-8-30 16:05:52