La Apache Software Foundation abordó el viernes una vulnerabilidad de alta gravedad en Apache OFBiz que podría haber permitido que un adversario no autenticado tomara el control de forma remota del sistema de planificación de recursos empresariales (ERP) de código abierto.
Rastreada como CVE-2021-26295 , la falla afecta a todas las versiones del software antes del 17.12.06 y emplea una «deserialización insegura» como vector de ataque para permitir que atacantes remotos no autorizados ejecuten código arbitrario en un servidor directamente.
OFBiz es un marco web basado en Java para automatizar procesos empresariales y ofrece una amplia gama de funcionalidades, que incluyen contabilidad, gestión de relaciones con los clientes, gestión de operaciones de fabricación, gestión de pedidos, cumplimiento de la cadena de suministro y sistema de gestión de almacenes, entre otros.
Específicamente, al explotar esta falla, una parte malintencionada puede manipular los datos serializados para insertar código arbitrario que, cuando se deserializa, puede potencialmente resultar en la ejecución remota de código.
«Un atacante no autenticado puede utilizar esta vulnerabilidad para hacerse cargo con éxito Apache OFBiz,» OFBiz desarrollador Jacques Le Roux señaló .
La deserialización insegura ha sido una fuente de integridad de los datos y otros problemas de seguridad, y el Open Web Application Security Project (OWASP) señaló que «no se puede confiar en que los datos que no son confiables estén bien formados, [y que] los datos mal formados o los datos inesperados podrían ser utilizado para abusar de la lógica de la aplicación, denegar el servicio o ejecutar código arbitrario, cuando se deserializa «.
r00t4dm en Cloud-Penetrating Arrow Lab, MagicZero de SGLAB de Legendsec en Qi’anxin Group y Longofo en Knownsec 404 Team han sido acreditados por informar de la vulnerabilidad.
Se recomienda actualizar Apache OFBiz a la última versión (17.12.06) para mitigar el riesgo asociado con la falla.