Apache OFBiz曝出严重漏洞，允许预身份验证RCE

文章预览

近日，研究人员发现 Apache OFBiz 中存在一个新的关键漏洞，该漏洞是 Apache OFBiz 中的一个错误授权问题，被追踪为CVE-2024-38856。该漏 ‍ 洞影响 18.12.14 之前的版本，18.12.15 版本修复了该漏洞。 SonicWall 的安全研究员 Hasib Vhora 与其他安全专家在公告中写道：如果满足某些先决条件，如屏幕定义没有明确检查用户的权限，因为它们依赖于终端的配置，那么未经验证的终端可能允许执行屏幕的屏幕渲染代码。 SonicWall Capture Labs 威胁研究团队在 Apache OFBiz 中发现了一个验证前远程代码执行漏洞，该漏洞被追踪为 CVE-2024-38856，CVSS 得分为 9.8。这是 SonicWall 最近几个月在 Apache OFBiz 中发现的第二个重大漏洞，第一个是在 2023 年 12 月。Vhora 写道：这一次，覆盖视图功能中的一个漏洞将关键端点暴露给了使用伪造请求的未经验证的威胁行为者，为远程代码执行铺平了道 ………………………………