Apache OFBiz 修复严重远程代码执行漏洞
重点概述
Apache 提供了针对其开源企业资源规划系统 OFBiz 的一项关键性漏洞的更新。该漏洞被追踪为 CVE202445195,可能会被用来在 Windows 和 Linux 服务器上执行任意代码。此漏洞规避了之前针对 OFBiz 的修复,表明了该系统的安全隐患依然存在。
据 BleepingComputer 报道,这一漏洞如果被利用,攻击者可以在没有凭证的情况下,通过未授权的视图检查在网页应用程序上执行任意代码。根据 Rapid7 的安全研究人员,已有多个相关漏洞,包括 CVE202438856、CVE202436104 和 CVE202432113,都与控制器视图映射中的碎片化问题有关,允许未认证的远程代码或 SQL 查询执行。Rapid7 的研究人员 Ryan Emmons 指出:“攻击者可以利用缺失的视图授权检查,在服务器上执行任意代码。”这一漏洞的披露正值 CVE202432113 被确认存在攻击事件后不久,该漏洞已被纳入网络安全与基础设施安全局的已知被利用漏洞目录中。
shadowrocket小火箭下载漏洞详情
以下是与 OFBiz 相关的漏洞列表:
漏洞编号描述状态CVE202445195关键远程代码执行漏洞修复发布CVE202438856先前的已知漏洞需更新CVE202436104可导致 SQL 查询执行的漏洞需更新CVE202432113影响的控制器视图映射的漏洞已被利用相关链接
CVE202438856 漏洞详情该漏洞的修复不仅是对 OFBiz 安全性的重要补救措施,同时也需要用户和管理员对过去的漏洞保持警惕,以确保系统的整体安全。
