Apache基金会修补ERP系统OFBiz重大风险漏洞
支付動態 · 2024-09-10

资安业者Rapid7公布上周修补的ERP系统OFBiz漏洞CVE-2024-45195,并指出该漏洞能够被用来绕过今年Apache基金会修补的3项弱点

9月4日Apache基金会发布ERP系统OFBiz新版18.12.16,当中修补重大层级漏洞CVE-2024-45195(CVSS风险评分为9.8),通报此事的研究人员近日公布相关细节。

资安业者Rapid7指出,通过这项漏洞,未经授权的攻击者能够从远程连至Windows或Linux电脑运行任意代码,原因是网页应用程序缺乏视图授权查核机制造成。

研究人员特别提及,这项漏洞与Apache基金会先前修补的CVE-2024-32113、CVE-2024-36104、CVE-2024-38856(CVSS风险评分为9.1至9.8),发生的根本原因相同,都是控制器与视图图解失去同步能力造成,而能让攻击者有机会在未通过身分验证的情况下,运行SQL查找或是特定代码,从而达到远程运行代码攻击的目的。

值得留意的是,上述漏洞已有部分出现实际攻击行动。其中在今年5月公布的CVE-2024-32113,8月美国网络安全暨基础设施安全局(CISA)加入已被利用的漏洞名册(KEV),SANS网络风暴中心研究人员指出,攻击者将其用来散布僵尸网络病毒OFBiz,因此,很有可能接下来也会有黑客尝试利用CVE-2024-45195。

由于CVE-2024-45195能够绕过Apache基金会针对CVE-2024-32113、CVE-2024-36104、CVE-2024-38856修补的代码,IT人员若不处理,潜藏的危险有可能会超过这些漏洞。

热门文章
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
英国确认各垂直行业的赌博税税率
游戏风向
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
首页
游戏
合作
发现
我的