CVE-2024-38856 是一个错误授权漏洞，影响除最新版本的 Apache OFBiz 之外的所有版本，可被未经身份验证的远程攻击者利用在易受攻击的系统上执行任意代码。

关于CVE-2024-38856

Apache OFBiz 是一个用于企业资源规划 （ERP） 的开源框架，其中包含满足常见业务需求的 Web 应用程序，例如人力资源、会计、库存管理、客户关系管理、营销等。

CVE-2024-38856 – 其发现归功于 SonicWall Capture Labs 的高级威胁研究员 Hasib Vhora 和许多其他安全研究人员 – 影响到 v18.12.14 （包括 v18.12.14） 的每个 Apache OFBiz 版本。

Apache OFBiz 开发人员 Jacques Le Roux 对该漏洞的描述没有详细说明，但 Vhora 已经发表了一篇关于该漏洞的详细技术文章。

该漏洞是在他的同事分析以前修补的路径遍历漏洞 （CVE-2024-36104） 如何由公开可用的 PoC 漏洞触发时发现的。

他们发现，他们可能会滥用覆盖视图功能，通过将特定端点与不需要身份验证的任何其他端点链接，从而实现对特定端点的未经身份验证的访问。

没有证据表明存在积极利用

根据德国联邦信息安全办公室 （BSI） 发布的公告，CVE-2024-38856 的 CVSS 基本分数为 9.8（严重），临时分数为 8.5（高）。

“[CVE-2024-38856] 使用精心构建的请求将关键端点暴露给未经身份验证的威胁行为者，为远程代码执行铺平了道路，”Vhora 解释说。

该漏洞的修复已添加到近一个月前发布的 v18.12.15 中，其有效性已得到确认。

建议用户尽快升级他们的安装，特别是考虑到 SANS Internet Storm Center 最近的报告，该报告警告攻击者试图利用 CVE-2024-32113，这是一个影响 OFBiz 版本至 v18.12.12 的路径遍历漏洞。

“OFBiz似乎远不如商业替代品那么普遍。然而，与任何其他ERP系统一样，组织依赖它来存储敏感的业务数据，而这些ERP系统的安全性至关重要，“SANS技术研究所研究院长Johannes Ullrich指出。

SonicWall 表示，Apache OFBiz 团队在 24 小时内提出了针对 CVE-2024-38856 的修复程序，目前，他们不知道有任何积极利用该漏洞的行为。