Apche Erp Software

Vendredi, l’Apache Software Foundation a abordé une vulnérabilité de gravité élevée dans Apache OFBiz qui aurait pu permettre à un adversaire non authentifié de prendre à distance le contrôle du système de planification des ressources d’entreprise (ERP) open-source.

Suivi comme CVE-2021-26295, la faille affecte toutes les versions du logiciel avant 17.12.06 et utilise une «désérialisation non sécurisée» comme vecteur d’attaque pour permettre à des attaquants distants non autorisés d’exécuter directement du code arbitraire sur un serveur.

OFBiz est un cadre Web basé sur Java pour automatiser les processus d’entreprise et offre un large éventail de fonctionnalités, notamment la comptabilité, la gestion de la relation client, la gestion des opérations de fabrication, la gestion des commandes, l’exécution de la chaîne d’approvisionnement et le système de gestion d’entrepôt, entre autres.

Plus précisément, en exploitant cette faille, une partie malveillante peut falsifier les données sérialisées pour insérer du code arbitraire qui, une fois désérialisé, peut potentiellement entraîner l’exécution de code à distance.

« Un attaquant non authentifié peut utiliser cette vulnérabilité pour réussir à prendre le contrôle d’Apache OFBiz », développeur OFBiz Jacques Le Roux c’est noté.

Publicité

La désérialisation non sécurisée a été un source d’intégrité des données et autres problèmes de sécurité, avec l’Open Web Application Security Project (OWASP) notant que « les données qui ne sont pas fiables ne sont pas fiables pour être bien formées, [and that] des données mal formées ou des données inattendues pourraient être utilisées pour abuser de la logique de l’application, refuser le service ou exécuter du code arbitraire, lorsqu’elles sont désérialisées. « 

r00t4dm du Cloud-Penetrating Arrow Lab, MagicZero de SGLAB de Legendsec chez Qi’anxin Group et Longofo de Knownsec 404 Team ont été crédités pour avoir signalé la vulnérabilité.

Il est recommandé de mettre à niveau Apache OFBiz vers le dernière version (17.12.06) pour atténuer le risque associé à la faille.

Rate this post
Publicité
Article précédentROUNDUP: les scores de football de Wilmington par lots; Le football ONU continue de rouler | Des sports
Article suivantDragon Ball Poster imagine la transformation Super Saiyan de Bra
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici