В Apache OfBiz обнаружен критический баг - «Новости» » Интернет технологии
sitename
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
 «Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
«Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
 В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
 Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
 Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
 TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
 Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
 ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
 «Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
«Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
 Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » В Apache OfBiz обнаружен критический баг - «Новости»

✔В Apache OfBiz обнаружен критический баг - «Новости»

01 января 2024 466 Добавления стилей / Вёрстка / Новости / Преимущества стилей / Отступы и поля 0

В опенсорсном ERP-решении Apache OfBiz обнаружили уязвимость нулевого дня, которую можно использовать для обхода аутентификации. Интересно, что этот баг возник в результате исправления другой критической уязвимости, CVE-2023-49070.


Как объяснили специалисты SonicWall, уязвимость, получившая идентификатор CVE-2023-51467, связана с функциональностью входа в систему и является результатом некорректного исправления другой критической уязвимости (CVE-2023-49070, 9,8 балла по шкале CVSS), которую устранили ранее в этом месяце.


«Меры безопасности, принятые для исправления CVE-2023-49070, не устранили лежащую в корне проблему, поэтому обход аутентификации по-прежнему актуален», — пишут эксперты.


Проблема CVE-2023-49070 позволяет выполнить произвольный код перед аутентификацией и затрагивает Apache OFBiz до версии 18.12.10. Успешная эксплуатация позволяет злоумышленникам получить полный контроль над сервером и перехватить конфиденциальные данные. Причиной возникновения этой проблемы стал устаревший компонент XML-RPC в Apache OFBiz.


В свою очередь, новую уязвимость, CVE-2023-51467, можно спровоцировать, используя пустые и недействительные параметры USERNAME и PASSWORD в HTTP-запросе. Это приводит к возврату сообщения об успешной аутентификации и позволяет обойти защиту, получив несанкционированный доступ к внутренним ресурсам.



В Apache OfBiz обнаружен критический баг - «Новости»


Суть проблемы заключается в том, что параметр requirePasswordChange в URL имеет значение «Y» (YES), что приводит к простейшему обходу аутентификации независимо от значений, передаваемых в полях имени пользователя и пароля.


В итоге пользователям рекомендуется как можно скорее обновить Apache OFbiz до версии 18.12.11 или более поздней, где уязвимость уже устранена.


Аналитики Shadowserver предупреждают, что уже обнаружили немало сканирований: хакеры используют общедоступные PoC-эксплоиты и пытаются эксплуатировать проблему CVE-2023-49070. Теперь исследователи ожидают аналогичной волны атак и для CVE-2023-51467.


Так, в настоящее время злоумышленники пытаются найти уязвимые серверы, заставляя их подключаться к URL-адресу oast.online. Исследователи говорят, что атакующие особенно заинтересованы в поиске уязвимых серверов Confluence.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В опенсорсном ERP-решении Apache OfBiz обнаружили уязвимость нулевого дня, которую можно использовать для обхода аутентификации. Интересно, что этот баг возник в результате исправления другой критической уязвимости, CVE-2023-49070. Как объяснили специалисты SonicWall, уязвимость, получившая идентификатор CVE-2023-51467, связана с функциональностью входа в систему и является результатом некорректного исправления другой критической уязвимости (CVE-2023-49070, 9,8 балла по шкале CVSS), которую устранили ранее в этом месяце. «Меры безопасности, принятые для исправления CVE-2023-49070, не устранили лежащую в корне проблему, поэтому обход аутентификации по-прежнему актуален», — пишут эксперты. Проблема CVE-2023-49070 позволяет выполнить произвольный код перед аутентификацией и затрагивает Apache OFBiz до версии 18.12.10. Успешная эксплуатация позволяет злоумышленникам получить полный контроль над сервером и перехватить конфиденциальные данные. Причиной возникновения этой проблемы стал устаревший компонент XML-RPC в Apache OFBiz. В свою очередь, новую уязвимость, CVE-2023-51467, можно спровоцировать, используя пустые и недействительные параметры USERNAME и PASSWORD в HTTP-запросе. Это приводит к возврату сообщения об успешной аутентификации и позволяет обойти защиту, получив несанкционированный доступ к внутренним ресурсам. Суть проблемы заключается в том, что параметр requirePasswordChange в URL имеет значение «Y» (YES), что приводит к простейшему обходу аутентификации независимо от значений, передаваемых в полях имени пользователя и пароля. В итоге пользователям рекомендуется как можно скорее обновить Apache OFbiz до версии 18.12.11 или более поздней, где уязвимость уже устранена. Аналитики Shadowserver предупреждают, что уже обнаружили немало сканирований: хакеры используют общедоступные PoC-эксплоиты и пытаются эксплуатировать проблему CVE-2023-49070. Теперь исследователи ожидают аналогичной волны атак и для CVE-2023-51467. Так, в настоящее время злоумышленники пытаются найти уязвимые серверы, заставляя их подключаться к URL-адресу oast.online. Исследователи говорят, что атакующие особенно заинтересованы в поиске уязвимых серверов Confluence.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: