Patch Now to Avoid Apache OFBiz Remote Code Execution – CVE-2024-36104
2024/06/03 SecurityOnline — Apache Software Foundation リリースしたのは、エンタープライズ・オートメーション・プラットフォーム Apache OFBiz に存在する、深刻な脆弱性 CVE-2024-36104 に対する重要なセキュリティ・パッチである。この脆弱性の悪用に成功したリモートの攻撃者は、影響を受けたシステム上で任意のコードを実行し、システムを完全に侵害する可能性を手にする。
パス・トラバーサルの脆弱性 CVE-2024-36104 (Important) を悪用する攻撃者は、OFBiz サーバ上の制限されたディレクトリやファイルへのアクセスを可能にする。また、ファイルパスを操作することで、コマンド実行/悪意のファイル・アップロード/機密データの窃取などにいたる可能性もある。この脆弱性は、不適切な入力検証とファイルパス制限の欠如に起因し、リソースの機密性/完全性/可用性に影響をおよぼす。
この脆弱性は、セキュリティ研究者であるGodspeed (AAA@ZJU) により発見/報告された。
Apache OFBiz バージョン 18.12.14 未満が、この脆弱性の影響を受ける。ERP/CRM/e-コマース/サプライチェーン管理/製造リソース計画などに、OFBiz を使用している組織に推奨されるのは、早急なシステムの更新である。
この脆弱性が悪用された場合には、重要なビジネス・データへの不正アクセスおよび、業務の妨害、ランサムウェアのインストールといった可能性が生じる。この脆弱性の重大性と、OFBiz の広範な利用により、悪用の格好の標的となっている。
すでに Apache Software Foundation は、この脆弱性の修正を含む OFBiz 18.12.14 をリリースしている。ユーザーに推奨されるのは、でこのバージョンへの迅速なアップグレードである。
このところ、Apache OFBiz の脆弱性が多いと感じたので、このブログ内を検索してみたら、今年に入ってから、今回で4回目でした。ご利用のチームは、ご注意ください。よろしければ、Apache で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.