کشف دو آسیبپذیری در نرمافزار آپاچی OFBiz
آپاچی OFBiz مجموعهای جامع از ابزارها را برای خودکارسازی فرآیندهای سازمان و تجارت الکترونیک را ارائه میدهد. OFBiz یک نرمافزار منبع باز و بخشی از بنیاد نرمافزاری آپاچی است و یک انتخاب برتر برای شرکتهایی است که به دنبال راهحلهای قابل اعتماد و مقیاسپذیر هستند. با این حال، اخیراً دو آسیبپذیری امنیتی در این نرمافزار شناسایی شده است.
نقص اول با شناسه CVE-2023-50968، یک آسیبپذیری خواندن ویژگیهای فایل و حمله SSRF است که با شدت «مهم» ارزیابی شده و امکان خواندن ویژگیهای فایل یا امکان دسترسی غیرمجاز به جزئیات فایل را برای مهاجم فراهم میکند. همچنین، راههایی را برای حملات SSRF باز میکند، به طوریکه مهاجمان ممکن است سرور را با ارسال درخواستهای تقلبی فریب دهند.
آسیبپذیری دوم با شناسه CVE-2023-51467، یک نقص اجرای کد از راه دور (RCE) است که با شدت «بحرانی» ارزیابی شده و به مهاجم اجازه اجرای کد از راه دور و بدون احراز هویت را میدهد و مهاجم میتواند کنترل سیستم را به دست آورد.
محصولات آسیبپذیر
تمام نسخههای آپاچی OFBiz تا قبل از نسخه 18.12.11 در برابر نقصهای امنیتی مذکور، آسیبپذیر هستند.
توصیههای امنیتی
آسیبپذیریهای فوق در نسخه 18.12.11 از نرمافزار OFBiz وصله شدهاند و کاربران میتوانند سیستمهای خود را به این نسخه بهروزرسانی کنند.
برای جلوگیری از خطرات احتمالی ناشی از آسیبپذیریهای مطرح شده در آپاچی OFBiz، میتوانید اقدامات امنیتی زیر را انجام دهید:
• بهروزرسانی نرمافزار به نسخه وصلهشده
• پیکربندی صحیح
• کنترل دسترسی
• پیکربندی دیواره آتش به نحوی که دسترسی به سرویسها و پورتهای غیرضروری محدود شود.