Une nouvelle vulnérabilité critique dans Apache OFBiz a été découverte – voici ce que vous devez savoir.

Les chercheurs ont découvert une nouvelle vulnérabilité critique dans le système de planification des ressources d’entreprise open source Apache OFBiz, exposant des points d’extrémité critiques aux acteurs de menaces non authentifiés. Apache OFBiz offre aux entreprises une suite d’applications et d’outils commerciaux pour gérer les fonctions commerciales, les aidant à automatiser divers aspects de leur comptabilité, de leurs ressources humaines, de leur fabrication, de leur CRM et de leurs opérations de commerce électronique. CVE-2024-38856 est une vulnérabilité d’exécution de code à distance pré-authentification (RCE), notée 9.8 sur le CVSS, et affecte les versions d’Apache OFBiz jusqu’à 18.12.14. L’équipe de recherche sur les menaces de SonicWall Capture Labs a découvert le problème lors de l’investigation d’une vulnérabilité distincte affectant Apache OFbiz, CVE-2024-36104, une faille de traversée de chemin non authentifiée, divulguée le 3 juin 2024. L’équipe a remarqué que les fonctions ControlServlet et RequestHandler recevaient des points d’extrémité différents à traiter, et a soupçonné que la cause première du problème reposait dans le processus d’authentification du système.

Share the Post: