登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

Apache基金会修补ERP系统OFBiz重大风险漏洞

分享

支付動態

2024-09-10

资安业者Rapid7公布上周修补的ERP系统OFBiz漏洞CVE-2024-45195,并指出该漏洞能够被用来绕过今年Apache基金会修补的3项弱点

9月4日Apache基金会发布ERP系统OFBiz新版18.12.16,当中修补重大层级漏洞CVE-2024-45195(CVSS风险评分为9.8),通报此事的研究人员近日公布相关细节。

资安业者Rapid7指出,通过这项漏洞,未经授权的攻击者能够从远程连至Windows或Linux电脑运行任意代码,原因是网页应用程序缺乏视图授权查核机制造成。

研究人员特别提及,这项漏洞与Apache基金会先前修补的CVE-2024-32113、CVE-2024-36104、CVE-2024-38856(CVSS风险评分为9.1至9.8),发生的根本原因相同,都是控制器与视图图解失去同步能力造成,而能让攻击者有机会在未通过身分验证的情况下,运行SQL查找或是特定代码,从而达到远程运行代码攻击的目的。

值得留意的是,上述漏洞已有部分出现实际攻击行动。其中在今年5月公布的CVE-2024-32113,8月美国网络安全暨基础设施安全局(CISA)加入已被利用的漏洞名册(KEV),SANS网络风暴中心研究人员指出,攻击者将其用来散布僵尸网络病毒OFBiz,因此,很有可能接下来也会有黑客尝试利用CVE-2024-45195。

由于CVE-2024-45195能够绕过Apache基金会针对CVE-2024-32113、CVE-2024-36104、CVE-2024-38856修补的代码,IT人员若不处理,潜藏的危险有可能会超过这些漏洞。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu