Apache OFBiz nelle versioni precedenti alla 18.12.16 è vulnerabile a una falla di esecuzione di codice da remoto (RCE) non autenticata che consente agli attaccanti di eseguire codice arbitrario sia su server Linux che Windows. Questa vulnerabilità deriva dalla mancanza di controlli di autorizzazione nell’applicazione web, permettendo agli attaccanti di sfruttare determinate visualizzazioni senza autenticazione.
La vulnerabilità è particolarmente preoccupante perché bypassa patch di sicurezza precedenti relative a CVE-2024-32113, CVE-2024-36104 e CVE-2024-38856, configurando quindi un caso di aggiramento di correzioni già applicate. Inoltre, CVE-2024-32113 era già presente nel catalogo delle Vulnerabilità Conosciute Sfruttate (KEV) del CISA, indicando una precedente attività di sfruttamento attivo. Lo sfruttamento di CVE-2024-45195 è stato anch’esso osservato attivamente, aumentando l’urgenza di attuare misure di mitigazione.
| Prodotto | OFBiz |
| Data | 2025-02-07 09:28:20 |
| Informazioni | Fix Available, Active Exploitation |
Riassunto tecnico
Apache OFBiz, un sistema ERP e CRM open-source, è affetto da una falla di sicurezza critica che consente agli attaccanti remoti di prendere il controllo del server senza autenticazione. Il problema deriva da controlli di autorizzazione inadeguati nell’interfaccia web, in particolare nell’endpoint /webtools/control/forgotPassword/xmldsdump. Sfruttando questa falla, un attaccante può scrivere file arbitrari sul server, portando infine a un’esecuzione di codice da remoto.
La vulnerabilità consente agli attaccanti di eseguire comandi con gli stessi privilegi dell’applicazione Apache OFBiz, potenzialmente compromettendo dati sensibili, distribuendo malware o effettuando movimenti laterali verso altri sistemi nella rete. Questa falla è particolarmente pericolosa perché non richiede autenticazione e può essere sfruttata da remoto.
Raccomandazioni
Gli utenti dovrebbero aggiornare alla versione 18.12.16 di Apache OFBiz, che contiene le correzioni per questa vulnerabilità e risolve anche problemi precedenti legati all’aggiramento di patch. I team di sicurezza dovrebbero inoltre monitorare eventuali segni di sfruttamento e implementare ulteriori regole in un firewall per applicazioni web (WAF) per bloccare i tentativi di exploit.
Riferimenti: