Apache OFBiz 存在严重的零日漏洞

关键要点

漏洞信息：Apache OFBiz ERP 系统存在一个新的零日漏洞CVE202351467，可能让攻击者绕过身份验证保护。漏洞利用方式：通过发送不正确的用户名和密码，结合特定参数设置，攻击者可成功伪造身份验证。漏洞来源：该漏洞源于对另一个关键漏洞CVE202349070的修复不充分。应急措施：研究人员建议立即更新 Apache OFBiz 至 181211 版本或更高版本以防止潜在的安全风险。

据 The Hacker News 报道，攻击者能够利用 Apache 的 OFBiz 企业资源规划系统中的一个新发现的严重零日漏洞CVE202351467来逃避身份验证保护。根据 SonicWall Capture Labs 威胁研究团队的报告，利用该漏洞的方式是在 OFBiz 的登录功能中发送无效的用户名和密码，通过 HTTP 请求从而获得成功的身份验证消息，这一过程依赖于 requirePasswordChange 参数的 Y 或 yes 输入。

“为了修复 CVE202349070 所采取的安全措施未能彻底消除根本问题，因此身份验证绕过依然存在，”研究人员表示。这表明先前的修复措施并未完全解决安全隐患。

为防止利用这些漏洞导致的潜在网络攻击，研究人员已敦促用户将 Apache OFBiz 更新至版本 181211 或更高版本。无论是个人用户还是企业，都需高度重视这一安全威胁并及时行动，从而保护自身信息安全。