В Apache OfBiz обнаружен критический баг - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » В Apache OfBiz обнаружен критический баг - «Новости»

✔В Apache OfBiz обнаружен критический баг - «Новости»

01 января 2024 409 Добавления стилей / Вёрстка / Новости / Преимущества стилей / Отступы и поля 0

В опенсорсном ERP-решении Apache OfBiz обнаружили уязвимость нулевого дня, которую можно использовать для обхода аутентификации. Интересно, что этот баг возник в результате исправления другой критической уязвимости, CVE-2023-49070.


Как объяснили специалисты SonicWall, уязвимость, получившая идентификатор CVE-2023-51467, связана с функциональностью входа в систему и является результатом некорректного исправления другой критической уязвимости (CVE-2023-49070, 9,8 балла по шкале CVSS), которую устранили ранее в этом месяце.


«Меры безопасности, принятые для исправления CVE-2023-49070, не устранили лежащую в корне проблему, поэтому обход аутентификации по-прежнему актуален», — пишут эксперты.


Проблема CVE-2023-49070 позволяет выполнить произвольный код перед аутентификацией и затрагивает Apache OFBiz до версии 18.12.10. Успешная эксплуатация позволяет злоумышленникам получить полный контроль над сервером и перехватить конфиденциальные данные. Причиной возникновения этой проблемы стал устаревший компонент XML-RPC в Apache OFBiz.


В свою очередь, новую уязвимость, CVE-2023-51467, можно спровоцировать, используя пустые и недействительные параметры USERNAME и PASSWORD в HTTP-запросе. Это приводит к возврату сообщения об успешной аутентификации и позволяет обойти защиту, получив несанкционированный доступ к внутренним ресурсам.



В Apache OfBiz обнаружен критический баг - «Новости»


Суть проблемы заключается в том, что параметр requirePasswordChange в URL имеет значение «Y» (YES), что приводит к простейшему обходу аутентификации независимо от значений, передаваемых в полях имени пользователя и пароля.


В итоге пользователям рекомендуется как можно скорее обновить Apache OFbiz до версии 18.12.11 или более поздней, где уязвимость уже устранена.


Аналитики Shadowserver предупреждают, что уже обнаружили немало сканирований: хакеры используют общедоступные PoC-эксплоиты и пытаются эксплуатировать проблему CVE-2023-49070. Теперь исследователи ожидают аналогичной волны атак и для CVE-2023-51467.


Так, в настоящее время злоумышленники пытаются найти уязвимые серверы, заставляя их подключаться к URL-адресу oast.online. Исследователи говорят, что атакующие особенно заинтересованы в поиске уязвимых серверов Confluence.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В опенсорсном ERP-решении Apache OfBiz обнаружили уязвимость нулевого дня, которую можно использовать для обхода аутентификации. Интересно, что этот баг возник в результате исправления другой критической уязвимости, CVE-2023-49070. Как объяснили специалисты SonicWall, уязвимость, получившая идентификатор CVE-2023-51467, связана с функциональностью входа в систему и является результатом некорректного исправления другой критической уязвимости (CVE-2023-49070, 9,8 балла по шкале CVSS), которую устранили ранее в этом месяце. «Меры безопасности, принятые для исправления CVE-2023-49070, не устранили лежащую в корне проблему, поэтому обход аутентификации по-прежнему актуален», — пишут эксперты. Проблема CVE-2023-49070 позволяет выполнить произвольный код перед аутентификацией и затрагивает Apache OFBiz до версии 18.12.10. Успешная эксплуатация позволяет злоумышленникам получить полный контроль над сервером и перехватить конфиденциальные данные. Причиной возникновения этой проблемы стал устаревший компонент XML-RPC в Apache OFBiz. В свою очередь, новую уязвимость, CVE-2023-51467, можно спровоцировать, используя пустые и недействительные параметры USERNAME и PASSWORD в HTTP-запросе. Это приводит к возврату сообщения об успешной аутентификации и позволяет обойти защиту, получив несанкционированный доступ к внутренним ресурсам. Суть проблемы заключается в том, что параметр requirePasswordChange в URL имеет значение «Y» (YES), что приводит к простейшему обходу аутентификации независимо от значений, передаваемых в полях имени пользователя и пароля. В итоге пользователям рекомендуется как можно скорее обновить Apache OFbiz до версии 18.12.11 или более поздней, где уязвимость уже устранена. Аналитики Shadowserver предупреждают, что уже обнаружили немало сканирований: хакеры используют общедоступные PoC-эксплоиты и пытаются эксплуатировать проблему CVE-2023-49070. Теперь исследователи ожидают аналогичной волны атак и для CVE-2023-51467. Так, в настоящее время злоумышленники пытаются найти уязвимые серверы, заставляя их подключаться к URL-адресу oast.online. Исследователи говорят, что атакующие особенно заинтересованы в поиске уязвимых серверов Confluence.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: