Los usuarios del código abierto de Biz ERP actualizarán una vez más su solución. De hecho, se descubrió una falla de seguridad que en el caso de una hazaña exitosa conduce a la ejecución del código remoto. Los sistemas de Windows y Linux se ven afectados. "Un atacante que no tiene información de identificación válida puede usar verificaciones de autorización de visualización faltantes en la aplicación web para ejecutar un código arbitrario en el servidor", prevenido Rapid7, que alertó el 16 de agosto la comunidad de los desarrolladores de Apache of Biz.

La vulnerabilidad de la alta gravedad, enumerada bajo el nombre de CVE-2024-45195 (puntaje CVSS: 7.5), afecta todas las versiones del software antes de 18.12.16. Este defecto sigue a otros descubrimientos y se llena en los últimos meses, a saber, el CVE-2024-32113, CVE-2024-36104, y CVE-2024-38856 (que data de principios de agosto). "Las tres vulnerabilidades anteriores fueron causadas por el mismo problema subyacente, a saber, la posibilidad de desincronizar el estado del controlador y la vista. Con la clave de la posibilidad de ejecutar código o solicitudes SQL de forma remota sin autenticación.

Este defecto no había sido completamente corregido, pero este es ahora el caso de las versiones 18.12.16 de OfBiz. "En esta corrección, los controles de autorización se han implementado para la vista. Este cambio valida el hecho de que una vista debe permitir el acceso anónimo si un usuario no está autenticado, en lugar de llevar a cabo verificaciones de autorización únicamente en función del controlador de destino", continúa Rapid7.