Uma vulnerabilidade crítica foi identificada no Apache OFBiz, uma solução ERP de código aberto bastante utilizada por empresas para gerenciamento de recursos empresariais. Especialistas em segurança da SonicWall revelaram a existência de uma falha de dia zero, rastreada como CVE-2024-38856, que permite que atacantes executem código remotamente em servidores afetados sem necessidade de autenticação prévia.
A pontuação CVSS da falha chegou a alarmantes 9,8 de um total de 10 pontos, indicando alto risco de impacto em caso de exploração. As versões do Apache OFBiz que estão vulneráveis são todas anteriores à 18.12.15.
O mecanismo de autenticação do software contém uma falha crítica que pode ser explorada por usuários não autenticados, permitindo que eles acessem funcionalidades que normalmente requerem que o usuário esteja devidamente logado. A vulnerabilidade, que também é um desvio de patch para o CVE-2024-36104, anteriormente corrigida, põe em perigo a segurança de inúmeras instâncias do Apache OFBiz em uso.
O pesquisador de segurança Hasib Vhora da SonicWall detalhou que a falha se encontra na funcionalidade de visualização de substituição, a qual expõe endpoints críticos aos atacantes. A falha passou a ser conhecida depois que agentes de ameaça aprenderam a encadear requisições maliciosas com outros endpoints que não requerem autenticação, abusando dessa funcionalidade.
Outra vulnerabilidade de travessia de caminho no OFBiz foi corrigida recentemente em maio de 2024. Contudo, a emergência de CVE-2024-38856 ressalta a constante necessidade de atenção e atualizações de segurança no campo de sistemas ERP.
Em resivo a essas descobertas críticas, espera-se que os administradores de sistemas que utilizam Apache OFBiz tomem medidas imediatas para atualizar suas instâncias para a última versão disponível e monitorar ativamente seus sistemas para quaisquer sinais de atividades suspeitas derivadas de potenciais explorações.
Acompanhe o TecMania e mantenha-se atualizado sobre as principais notícias de tecnologia e cibersegurança, e não esqueça de seguir nossos perfis no Twitter e LinkedIn para mais conteúdos exclusivos.
