یک نقص امنیتی جدید در Apache OFBiz، سیستم برنامهریزی منابع سازمانی منبع باز (ERP) برطرف شده است که در صورت اکسپلویت موفقیتآمیز، میتواند منجر به اجرای کد از راه دور تأیید نشده در لینوکس و ویندوز شود.
این آسیبپذیری با شدت بالا که با شناسه CVE-2024-45195 (امتیاز CVSS: 7.5)، تمامی نسخههای نرمافزار قبل از تاریخ 18.12.16 را تحت تأثیر قرار میدهد. محقق امنیتی Rapid7 در گزارشی جدید گفت: مهاجم بدون اعتبارنامه معتبر از بررسیهای مجوز مشاهده در وب اپلیکیشن جهت اجرای کد دلخواه بر روی سرور سوء استفاده میکند.
شایان ذکر است که آسیبپذیری CVE-2024-45195 یک دور زدن برای دنبالهای از نقصها با شناسههای CVE-2024-32113، CVE-2024-36104، و CVE-2024-38856 است که در چند ماه گذشته توسط توسعهدهندگان پروژه برطرف شده است.
https://thehackernews.com/2024/09/apache-ofbiz-update-fixes-high-severity.html
https://www.bleepingcomputer.com/news/security/apache-fixes-critical-ofbiz-remote-code-execution-vulnerability/
