یک آسیبپذیری جدید اجرای کد از راه دور (RCE) پیش از تأیید اعتبار روز صفر با شناسه CVE-2024-38856 و امتیاز CVSS 9.8 در سیستم برنامهریزی منابع سازمانی منبعباز Apache OFBiz (ERP) فاش شده است که میتواند برای عوامل تهدید امکان اجرای کد از راه دور بر روی نمونههای آسیبدیده را فراهم کند. این نقص نسخههای Apache OFBiz قبل از 18.12.15 را تحت تأثیر قرار میدهد.
SonicWall که این نقص را کشف و گزارش کرد، در بیانیهای گفت: “علت اصلی آسیبپذیری در نقص مکانیزم احراز هویت است و به کاربر احراز هویت نشده اجازه میدهد تا به عملکردهایی دسترسی یابد که معمولاً کاربر را ملزم به ورود به سیستم میکند و راه را برای اجرای کد از راه دور هموار میسازد. نقص امنیتی مذکور همچنین یک وصله بایپس برای یک آسیبپذیری پیمایش مسیر با شناسه CVE-2024-36104 است که در اوایل ژوئن با انتشار نسخه 18.12.14 برطرف شد.
این توسعه در حالی صورت گرفت که یکی دیگر از آسیبپذیریهای پیمایش مسیر حیاتی در OFBiz با شناسه CVE-2024-32113 که میتواند منجر به اجرای کد از راه دور شود، از آن زمان برای استقرار باتنت Mirai مورد بهرهبرداری فعال قرار گرفته است. در می 2024 وصله شد.
کشف آسیبپذیری روز صفر جدید Apache OFBiz (CVE-2024-38856)
https://thehackernews.com/2024/08/new-zero-day-flaw-in-apache-ofbiz-erp.html
