Apache OfBiz kurumsal kaynak planlama (ERP) yazılımında, saldırganların kötü amaçlı kod yerleştirmesine olanak verebilecek iki güvenlik açığı bulunmaktadır. Yazılımın güncellenmiş bir sürümü güvenlik açıklarını iyileştirir.
Duyuru
Kritik risk olarak sınıflandırma, en ciddi güvenlik açığını kıl payı kaçırıyor. Kısa açıklamaya göre saldırganlar aynı sitedeki kısıtlamaları aşarak URL parametrelerini kullanarak başka hedeflere yönlendirme yapabiliyor. Sorun, siteler arası istek sahteciliği (CSRF) ile birlikte oluşturulan kodun yetersiz kontrolünün yanı sıra OfBiz şablon motorundaki (CVE-2024-48962, CVSS) öğelerin yetersiz filtrelenmesinden kaynaklanmaktadır. 8.9“Risk”yüksek“).
İki güvenlik açığı Apache OfBiz'i tehlikeye atıyor
CVE-2024-47208 CVE numarasına sahip güvenlik açığı henüz CVSS ölçeğine göre spesifik bir sınıflandırma almamıştır. Geliştiriciler boşluğu “URL'ler, İnternetten kod yürütülmesine yol açan Harika İfadelerin kullanımına izin veriyor” şeklinde tanımlıyor. Güvenlik açığını sunucu tarafı istek sahteciliği (SSRF) ve yetersiz kod oluşturma izlemesi (“kod enjeksiyonu”) olarak sınıflandırıp “önemli” olarak derecelendiriyorlar.
Federal Siber Güvenlik Ofisi'nin (BSI) CERT birliği, güvenlik açıklarını bile kritik olarak sınıflandırıyor ve CVSS değeri şu şekilde: 9.8 (Risk eleştirmen). Her iki güvenlik açığı da Apache OfBiz'i mevcut 18.12.17 sürümünden önce etkiliyor. Bu sürüm veya daha yeni bir sürüm, kurumsal yazılımdaki güvenlikle ilgili bu hataları düzeltir. Geliştiriciler kullanıcılara bu sürüme güncelleme yapmalarını öneriyor.
Ağustos ayında, ABD siber güvenlik kurumu CISA, Apache OfBiz güvenlik açıklarına yönelik saldırıların gözlemlendiği konusunda uyardı. Bu nedenle yazılımın siber suçlular için cazip hedefler listesinde olduğu görülüyor. Bu nedenle BT yöneticileri güncellemeyi ertelememeli, bunun yerine hemen uygulamalıdır.
(Bilmiyorum)
Duyuru
Kritik risk olarak sınıflandırma, en ciddi güvenlik açığını kıl payı kaçırıyor. Kısa açıklamaya göre saldırganlar aynı sitedeki kısıtlamaları aşarak URL parametrelerini kullanarak başka hedeflere yönlendirme yapabiliyor. Sorun, siteler arası istek sahteciliği (CSRF) ile birlikte oluşturulan kodun yetersiz kontrolünün yanı sıra OfBiz şablon motorundaki (CVE-2024-48962, CVSS) öğelerin yetersiz filtrelenmesinden kaynaklanmaktadır. 8.9“Risk”yüksek“).
İki güvenlik açığı Apache OfBiz'i tehlikeye atıyor
CVE-2024-47208 CVE numarasına sahip güvenlik açığı henüz CVSS ölçeğine göre spesifik bir sınıflandırma almamıştır. Geliştiriciler boşluğu “URL'ler, İnternetten kod yürütülmesine yol açan Harika İfadelerin kullanımına izin veriyor” şeklinde tanımlıyor. Güvenlik açığını sunucu tarafı istek sahteciliği (SSRF) ve yetersiz kod oluşturma izlemesi (“kod enjeksiyonu”) olarak sınıflandırıp “önemli” olarak derecelendiriyorlar.
Federal Siber Güvenlik Ofisi'nin (BSI) CERT birliği, güvenlik açıklarını bile kritik olarak sınıflandırıyor ve CVSS değeri şu şekilde: 9.8 (Risk eleştirmen). Her iki güvenlik açığı da Apache OfBiz'i mevcut 18.12.17 sürümünden önce etkiliyor. Bu sürüm veya daha yeni bir sürüm, kurumsal yazılımdaki güvenlikle ilgili bu hataları düzeltir. Geliştiriciler kullanıcılara bu sürüme güncelleme yapmalarını öneriyor.
Ağustos ayında, ABD siber güvenlik kurumu CISA, Apache OfBiz güvenlik açıklarına yönelik saldırıların gözlemlendiği konusunda uyardı. Bu nedenle yazılımın siber suçlular için cazip hedefler listesinde olduğu görülüyor. Bu nedenle BT yöneticileri güncellemeyi ertelememeli, bunun yerine hemen uygulamalıdır.
(Bilmiyorum)