Срочно. В программном обеспечении ERP Apache OFBiz обнаружена критическая уязвимость RCE — исправьте сейчас

Apache Software Foundation устранила уязвимость высокой степени опасности в Apache OFBiz, которая могла позволить неаутентифицированному противнику удалённо захватить контроль над системой планирования ресурсов предприятия (ERP) с открытым исходным кодом.

В программном обеспечении ERP Apache OFBiz обнаружена критическая уязвимость RCE - исправьте сейчас. Фото: Pixabay

Уязвимость CVE-2021-26295 затрагивает все версии программного обеспечения до 17.12.06 и использует «небезопасную десериализацию» в качестве вектора атаки, чтобы позволить неавторизованным удалённым злоумышленникам напрямую выполнять произвольный код на сервере.

OFBiz - это веб-платформа на основе Java для автоматизации корпоративных процессов, которая предлагает широкий спектр функций, включая бухгалтерский учёт, управление взаимоотношениями с клиентами, управление производственными операциями, управление заказами, выполнение цепочки поставок и систему управления складом, среди прочего.

В частности, используя эту уязвимость, злоумышленник может вмешаться в данные для вставки произвольного кода, который при десериализации потенциально может привести к удалённому выполнению кода.

«Неаутентифицированный злоумышленник может использовать эту уязвимость для успешного захвата Apache OFBiz», — отметил разработчик OFBiz Жак Ле Ру.

Пользователей призывают обновить Apache OFBiz до последней версии (17.12.06) как можно скорее, чтобы снизить риск, связанный с уязвимостью.