OFBiz RCE Güvenlik Açığı
Java tabalı bir web çerçevesi olan Apache OFBiz, kurumsal kaynak planlama (ERP) sistemidir. Bir işletmenin bir çok iş sürecini bütünleştiren ve otomatikleştiren bir kurumsal uygulamalar paketi sunar. Her sektörde kullanılabilen açık kaynaklı bir ERP sistemidir.
Apache, OFBiz üzerinde kimliği doğrulanmamış bir saldırganın ERP sisteminin kontrolünü uzaktan ele geçirmesine izin verebilecek yüksek önem derecesine sahip CVE-2021-26295 güvenlik açığını yayınladı. OFBiz 17.12.06’dan önceki tüm sürümlerini etkiler ve yetkisiz uzaktan kod yürütmesine izin vermektedir. OFBiz, kurumsal süreçleri otomatikleştirmek için Java tabanlı bir web çerçevesidir ve diğerleri arasında muhasebe, müşteri ilişkileri yönetimi, üretim işlemleri yönetimi, sipariş yönetimi, tedarik zinciri yerine getirme ve depo yönetimi sistemi dahil olmak üzere geniş bir kullanım sunar. Kusurdan yararlanarak, kötü niyetli bir taraf serileştirilmiş verileri kurcalayarak, seri durumdan çıkarıldığında potansiyel olarak uzaktan kod yürütülmesine neden olabilecek zararlı faaliyet gösterecek kod ekleyebilir.
Güncellemeyi https://ofbiz.apache.org/download.html adresinden yapabiliriz.
Kaynak:
https://ofbiz.apache.org/download.html#vulnerabilities
https://issues.apache.org/jira/browse/OFBIZ-12167
https://seclists.org/oss-sec/2021/q1/255
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.