Una falla de seguridad recién descubierta en el sistema de planificación de recursos empresariales (ERP) de código abierto Apache OFBiz presenta un riesgo significativo para la ejecución remota de código en Linux y Windows. Esta vulnerabilidad, identificada como CVE-2024-45195 con una puntuación CVSS de 7.5, afecta a todas las versiones anteriores a 18.12.16 del software.
El investigador de seguridad de Rapid7, Ryan Emmons, advirtió que un atacante sin credenciales válidas podría explotar la falta de comprobaciones de autorización de vista en la aplicación web para ejecutar código arbitrario en el servidor. Es importante señalar que CVE-2024-45195 aborda múltiples problemas previos, incluidos CVE-2024-32113, CVE-2024-36104 y CVE-2024-38856, que han sido abordados en parches recientes.
CVE-2024-32113 y CVE-2024-38856 han sido aprovechados activamente, siendo el primero utilizado para desplegar el malware de la botnet Mirai. Rapid7 destaca que estas deficiencias derivan de la «capacidad de desincronizar el estado del mapa del controlador y la vista», lo que plantea una preocupación adicional sobre la efectividad de los parches anteriores.
La explotación de esta vulnerabilidad podría permitir a los atacantes ejecutar código o consultas SQL, lo que resultaría en la ejecución remota de código sin autenticación. El último parche valida que una vista permita el acceso anónimo si un usuario no está autenticado, en lugar de basar las comprobaciones de autorización solo en el controlador de destino.
Además, la versión 18.12.16 de Apache OFBiz resuelve una vulnerabilidad crítica de falsificación de solicitudes del lado del servidor (SSRF) (CVE-2024-45507, puntuación CVSS: 9.8), la cual, al ser explotada mediante una URL especialmente diseñada, podría resultar en acceso no autorizado y compromiso del sistema.
Vía The Hacker News
