06 de septiembre de 2024Ravie LakshmananCiberseguridad / Vulnerabilidad Se ha abordado una nueva falla de seguridad en el sistema de planificación de recursos empresariales (ERP) de código abierto Apache OFBiz que, si se explota con éxito, podría provocar la ejecución remota de código no autenticado en Linux y Windows. La vulnerabilidad de alta gravedad, identificada como CVE-2024-45195 (puntuación CVSS: 7,5), afecta a todas las versiones del software anteriores al 18.12.16. «Un atacante sin credenciales válidas aprovecha las comprobaciones de autorización de visualización faltantes en la aplicación web para ejecutar código arbitrario en el servidor», dijo el investigador de seguridad de Rapid7, Ryan Emmons, en un nuevo informe. Vale la pena señalar que CVE-2024-45195 es una solución para una serie de problemas, CVE-2024-32113, CVE-2024-36104 y CVE-2024-38856, que fueron abordados por los encargados del mantenimiento del proyecto durante los últimos meses. Tanto CVE-2024-32113 como CVE-2024-38856 han sido explotados activamente desde entonces, y el primero se ha aprovechado para implementar el malware de la botnet Mirai. Rapid7 dijo que las tres deficiencias anteriores se derivan de la «capacidad de desincronizar el controlador y ver el estado del mapa», un problema que nunca se solucionó por completo en ninguno de los parches. Una consecuencia de la vulnerabilidad es que los atacantes podrían abusar de ella para ejecutar código o consultas SQL y lograr la ejecución remota de código sin autenticación. El último parche implementado «valida que una vista debería permitir el acceso anónimo si un usuario no está autenticado, en lugar de realizar comprobaciones de autorización basadas únicamente en el controlador de destino». La versión 18.12.16 de Apache OFBiz también soluciona una vulnerabilidad crítica de falsificación de solicitud del lado del servidor (SSRF) (CVE-2024-45507, puntuación CVSS: 9,8) que podría provocar un acceso no autorizado y comprometer el sistema aprovechando una URL especialmente diseñada. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.