کشف دو آسیب‌پذیری در نرم‌افزار آپاچی OFBiz

کشف دو آسیب‌پذیری در نرم‌افزار آپاچی OFBiz

تاریخ ایجاد

آپاچی OFBiz مجموعه‌ای جامع از ابزارها را برای خودکارسازی فرآیندهای سازمان و تجارت الکترونیک را ارائه می‌دهد. OFBiz یک نرم‌افزار منبع باز و بخشی از بنیاد نرم‌افزاری آپاچی است و یک انتخاب برتر برای شرکت‌هایی است که به دنبال راه‌حل‌های قابل اعتماد و مقیاس‌پذیر هستند. با این حال، اخیراً دو آسیب‌پذیری امنیتی در این نرم‌افزار شناسایی شده است.
نقص اول با شناسه CVE-2023-50968، یک آسیب‌پذیری خواندن ویژگی‌های فایل و حمله SSRF است که با شدت «مهم» ارزیابی شده و امکان خواندن ویژگی‌های فایل یا امکان دسترسی غیرمجاز به جزئیات فایل را برای مهاجم فراهم می‌کند. همچنین، راه‌هایی را برای حملات SSRF باز می‌کند، به طوری‌که مهاجمان ممکن است سرور را با ارسال درخواست‌های تقلبی فریب دهند.
آسیب‌پذیری دوم با شناسه CVE-2023-51467، یک نقص اجرای کد از راه دور (RCE) است که با شدت «بحرانی» ارزیابی شده و به مهاجم اجازه اجرای کد از راه دور و بدون احراز هویت را می‌دهد و مهاجم می‌تواند کنترل سیستم را به‌ دست آورد.

محصولات آسیب‌پذیر
تمام نسخه‌های آپاچی OFBiz تا قبل از نسخه 18.12.11 در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
آسیب‌پذیری‌های فوق در نسخه 18.12.11 از نرم‌افزار OFBiz وصله شده‌اند و کاربران می‌توانند سیستم‌های خود را به این نسخه به‌روزرسانی کنند.
برای جلوگیری از خطرات احتمالی ناشی از آسیب‌پذیری‌های مطرح شده در  آپاچی OFBiz، می‌توانید اقدامات امنیتی زیر را انجام دهید:
•    به‌روزرسانی نرم‌افزار به نسخه وصله‌شده
•    پیکربندی صحیح
•    کنترل دسترسی
•    پیکربندی دیواره آتش به‌ نحوی که دسترسی به سرویس‌ها و پورت‌های غیرضروری محدود شود.

منابع خبر:


[1] https://meterpreter.org/cve-2023-51467-cve-2023-50968-critical-security-vulnerabilities-in-apache-o…
[2] https://www.cve.org/CVERecord?id=CVE-2023-51467