Chargement maintenant
Une nouvelle faille de sécurité critique dans l'ERP Ofbiz d'Apache corrigée

Une nouvelle faille de sécurité critique dans l’ERP Ofbiz d’Apache corrigée

Vulnérabilité majeure corrigée dans Apache Ofbiz

Apache a récemment comblé une vulnérabilité majeure dans son ERP open source Ofbiz, ouvrant la voie à une potentielle exécution de code à distance sans authentification préalable. Cette faille s’ajoute à une série de correctifs publiés par l’éditeur ces derniers mois pour pallier des failles critiques similaires.

Détails de la vulnérabilité : CVE-2024-45195

Exploitation sans authentification

Répertoriée sous le nom CVE-2024-45195, cette faille de sécurité permet à un attaquant d’exécuter du code ou d’envoyer des requêtes SQL à distance sans avoir besoin de s’authentifier. Les systèmes Windows et Linux utilisant des versions antérieures à 18.12.16 d’Ofbiz sont concernés. Selon Rapid7, qui a alerté la communauté le 16 août, « un attaquant sans informations d’identification valides peut exploiter les contrôles d’autorisation manquants dans l’application web pour exécuter un code arbitraire sur le serveur. »

Antécédents des failles dans Apache Ofbiz

Correctifs récurrents pour des failles critiques

Cette nouvelle vulnérabilité survient après la correction de plusieurs autres failles similaires, notamment CVE-2024-32113, CVE-2024-36104, et CVE-2024-38856, toutes découvertes et corrigées au début du mois d’août. Selon les experts, ces failles partagent un problème sous-jacent : la désynchronisation entre l’état du contrôleur et celui de la vue. Cette désynchronisation rend possible l’exécution de code ou de requêtes SQL à distance sans authentification.

Correctif apporté dans la version 18.12.16

Implémentation des contrôles d’autorisation

Avec la sortie de la version 18.12.16, Apache Ofbiz corrige cette faille en implémentant des contrôles d’autorisation pour la vue, garantissant ainsi une meilleure sécurité pour les utilisateurs non authentifiés. « Ce correctif valide que l’accès anonyme doit être autorisé uniquement lorsque la vue est destinée à un utilisateur non authentifié, plutôt que de s’appuyer uniquement sur les contrôles d’autorisation du contrôleur cible », explique Rapid7.

Share this content:

Articles connexes

Laisser un commentaire

Guide et tuto d'infotechmagazine.com