Apache OFBiz 存在严重的零日漏洞

关键要点

• 漏洞信息 ：Apache OFBiz ERP 系统存在一个新的零日漏洞（CVE-2023-51467），可能让攻击者绕过身份验证保护。
• 漏洞利用方式 ：通过发送不正确的用户名和密码，结合特定参数设置，攻击者可成功伪造身份验证。
• 漏洞来源 ：该漏洞源于对另一个关键漏洞（CVE-2023-49070）的修复不充分。
• 应急措施 ：研究人员建议立即更新 Apache OFBiz 至 18.12.11 版本或更高版本以防止潜在的安全风险。

据 报道，攻击者能够利用 Apache 的 OFBiz企业资源规划系统中的一个新发现的严重零日漏洞（CVE-2023-51467）来逃避身份验证保护。根据 SonicWall Capture Labs威胁研究团队的报告，利用该漏洞的方式是在 OFBiz 的登录功能中发送无效的用户名和密码，通过 HTTP 请求从而获得成功的身份验证消息，这一过程依赖于 "requirePasswordChange" 参数的 "Y" 或 "yes" 输入。

“为了修复 CVE-2023-49070 所采取的安全措施未能彻底消除根本问题，因此身份验证绕过依然存在，”研究人员表示。这表明先前的修复措施并未完全解决安全隐患。

为防止利用这些漏洞导致的潜在网络攻击，研究人员已敦促用户将 Apache OFBiz 更新至版本 18.12.11或更高版本。无论是个人用户还是企业，都需高度重视这一安全威胁并及时行动，从而保护自身信息安全。

了解更多信息，请查阅 。