Les chercheurs ont découvert une nouvelle vulnérabilité critique dans le système de planification des ressources d’entreprise open source Apache OFBiz, exposant des points d’extrémité critiques aux acteurs de menaces non authentifiés. Apache OFBiz offre aux entreprises une suite d’applications et d’outils commerciaux pour gérer les fonctions commerciales, les aidant à automatiser divers aspects de leur comptabilité, de leurs ressources humaines, de leur fabrication, de leur CRM et de leurs opérations de commerce électronique. CVE-2024-38856 est une vulnérabilité d’exécution de code à distance pré-authentification (RCE), notée 9.8 sur le CVSS, et affecte les versions d’Apache OFBiz jusqu’à 18.12.14. L’équipe de recherche sur les menaces de SonicWall Capture Labs a découvert le problème lors de l’investigation d’une vulnérabilité distincte affectant Apache OFbiz, CVE-2024-36104, une faille de traversée de chemin non authentifiée, divulguée le 3 juin 2024. L’équipe a remarqué que les fonctions ControlServlet et RequestHandler recevaient des points d’extrémité différents à traiter, et a soupçonné que la cause première du problème reposait dans le processus d’authentification du système.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du