Foi descoberto um novo falha de segurança de zero-day no Apache OfBiz, um sistema de Planejamento de Recursos Empresariais (ERP) de código aberto que poderia ser explorado para contornar proteções de autenticação.
A vulnerabilidade, rastreada como
CVE-2023-51467
, reside na funcionalidade de login e é o resultado de uma correção incompleta para outra vulnerabilidade crítica (
CVE-2023-49070
, pontuação CVSS: 9.8) que foi lançada no início deste mês.
"As medidas de segurança tomadas para corrigir o
CVE-2023-49070
deixaram a questão raiz intacta e, portanto, a contorna de autenticação ainda estava presente", disse a equipe de pesquisa de ameaças da SonicWall Capture Labs, que descobriu o erro, em uma declaração compartilhada com o The Hacker News.
O
CVE-2023-49070
se refere a uma falha de execução de código remoto pré-autenticada que afeta versões anteriores à 18.12.10 que, quando explorada com sucesso, poderia permitir que atores de ameaças assumissem o controle total do servidor e extraíssem dados sensíveis.
Isso é causado devido a um componente XML-RPC obsoleto dentro do Apache OFBiz.
Segundo a SonicWall, a
CVE-2023-51467
pode ser acionada usando os parâmetros Vazio e Inválidos de USUÁRIO e SENHA em uma solicitação HTTP para retornar uma mensagem de sucesso de autenticação, contornando efetivamente a proteção e permitindo que um ator de ameaças acesse recursos internos inacessíveis.
O ataque se baseia no fato de que o parâmetro "requirePasswordChange" está definido como "Y" (isto é, sim) na URL, fazendo com que a autenticação seja trivialmente contornada, independentemente dos valores passados nos campos de nome de usuário e senha.
"A vulnerabilidade permite que os atacantes contornem a autenticação para conseguir um simples SSRF (Server-Side Request Forgery)", de acordo com uma descrição da falha no NIST National Vulnerability Database (NVD).
Os usuários que dependem do Apache OFbiz devem atualizar para a versão 18.12.11 ou posterior o mais rápido possível para mitigar quaisquer possíveis ameaças.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...