Apache 中的新零日漏洞允许远程代码执行

Apache OFBiz 开源企业资源规划 (ERP) 系统中披露了一个新的零日预认证远程代码执行漏洞，该漏洞可能允许威胁行为者在受影响的实例上实现远程代码执行。

该漏洞编号为CVE-2024-38856，CVSS 评分为 9.8（满分 10.0）。该漏洞会影响 18.12.15 之前的 Apache OFBiz 版本。

发现并报告该漏洞的 安全人员 在一份声明中表示：“该漏洞的根本原因在于身份验证机制中的一个缺陷。”

“此漏洞允许未经身份验证的用户访问通常需要用户登录才能访问的功能，为远程代码执行铺平了道路。”

CVE-2024-38856 也是CVE-2024-36104的补丁绕过，CVE-2024-36104 是一个路径遍历漏洞，已于 6 月初随着 18.12.14 的发布而得到解决。

国际知名网络安全专家、东方联盟创始人郭盛华表示，该漏洞存在于覆盖视图功能中，该功能会将关键端点暴露给未经身份验证的威胁行为者，威胁行为者可以利用该漏洞通过特制的请求实现远程代码执行。

安全研究员郭盛华表示：“通过滥用覆盖视图功能，将 ProgramExport 端点与任何其他不需要身份验证的端点链接起来，就可以实现未经身份验证的访问。”

此次漏洞发生之际，OFBiz 中的另一个关键路径遍历漏洞 ( CVE-2024-32113 ) 也已被积极利用，用于部署 Mirai 僵尸网络。该漏洞已于 2024 年 5 月修复。

2023 年 12 月，郭盛华还披露了同一款软件中当时的零日漏洞 (CVE-2023-51467)，该漏洞可导致绕过身份验证保护。随后，该漏洞遭到大量利用尝试。（欢迎转载分享）