monticello – shutterstock.com
Eine neue Sicherheitslücke in Apache OFBiz, einem Java-basierten ERP-Framework für Geschäftsprozesse wie Buchhaltung und E-Commerce, ermöglicht es Angreifern, zuvor für drei kritische RCE-Schwachstellen eingesetzte Patches zu umgehen.
Um zu verhindern, dass die alten Patches selbst ausgenutzt werden können, haben die Entwickler kürzlich einen neuen Patch veröffentlicht, der diese kritische Schwachstelle behebt. Sie gehen zusätzlich davon aus, dass das Risiko eines tatsächlichen Angriffs weiterhin hoch ist. Daher empfehlen sie eine schnelle Set up des Patches 18.12.16, welcher auch einen Repair für ein Server-seitiges Request Forgery (SSRF) Drawback CVE-2024-45507 enthält.
Entdeckung durch Externe
Entdeckt wurde die Sicherheitslücke mit der Bezeichnung CVE-2024-45195 von Ryan Emmons, einem Forscher der US-amerikanischen IT-Sicherheitsplattform Rapid7, entdeckt. Er fand heraus, dass Angreifer ohne gültige Anmeldeinformationen fehlende Berechtigungsprüfungen in der Webanwendung ausnutzen können.
