Vendredi, l’Apache Software Foundation a abordé une vulnérabilité de gravité élevée dans Apache OFBiz qui aurait pu permettre à un adversaire non authentifié de prendre à distance le contrôle du système de planification des ressources d’entreprise (ERP) open-source.

Suivi comme CVE-2021-26295, la faille affecte toutes les versions du logiciel avant 17.12.06 et utilise une «désérialisation non sécurisée» comme vecteur d’attaque pour permettre à des attaquants distants non autorisés d’exécuter directement du code arbitraire sur un serveur.

OFBiz est un cadre Web basé sur Java pour automatiser les processus d’entreprise et offre un large éventail de fonctionnalités, notamment la comptabilité, la gestion de la relation client, la gestion des opérations de fabrication, la gestion des commandes, l’exécution de la chaîne d’approvisionnement et le système de gestion d’entrepôt, entre autres.

Plus précisément, en exploitant cette faille, une partie malveillante peut falsifier les données sérialisées pour insérer du code arbitraire qui, une fois désérialisé, peut potentiellement entraîner l’exécution de code à distance.

“Un attaquant non authentifié peut utiliser cette vulnérabilité pour réussir à prendre le contrôle d’Apache OFBiz”, développeur OFBiz Jacques Le Roux c’est noté.

La désérialisation non sécurisée a été un source d’intégrité des données et autres problèmes de sécurité, avec l’Open Web Application Security Project (OWASP) notant que “les données qui ne sont pas fiables ne sont pas fiables pour être bien formées, [and that] des données mal formées ou des données inattendues pourraient être utilisées pour abuser de la logique de l’application, refuser le service ou exécuter du code arbitraire, lorsqu’elles sont désérialisées. “

r00t4dm du Cloud-Penetrating Arrow Lab, MagicZero de SGLAB de Legendsec chez Qi’anxin Group et Longofo de Knownsec 404 Team ont été crédités pour avoir signalé la vulnérabilité.

Il est recommandé de mettre à niveau Apache OFBiz vers le dernière version (17.12.06) pour atténuer le risque associé à la faille.



Leave a Reply