Lỗ hổng được gắn mã định danh CVE-2024-45195 với điểm CVSS là 7.5, ảnh hưởng đến tất cả các phiên bản Apache OFBiz trước phiên bản 18.12.16. Điều này đồng nghĩa với việc kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã tùy ý mà không cần có thông tin xác thực hợp lệ. Cụ thể, lỗ hổng khai thác sự thiếu sót trong kiểm tra quyền truy cập của ứng dụng web, cho phép tin tặc thực thi mã trên máy chủ.
Bản vá mới nhất của Apache OFBiz đã khắc phục vấn đề này bằng cách “xác thực rằng quyền truy cập ẩn danh chỉ được phép khi người dùng chưa được xác thực, thay vì dựa trên các kiểm tra bộ điều khiển mục tiêu”. Phiên bản 18.12.16 cũng bao gồm bản vá cho một lỗ hổng nghiêm trọng khác là CVE-2024-45507 (điểm CVSS: 9.8), một dạng làm giả yêu cầu phía máy chủ (SSRF) có thể bị lợi dụng để truy cập trái phép và tấn công hệ thống thông qua các URL được tạo đặc biệt.
Với việc khắc phục các lỗ hổng này, phiên bản mới của Apache OFBiz đã cải thiện đáng kể khả năng bảo mật và giảm thiểu rủi ro cho các doanh nghiệp sử dụng phần mềm này.
Phong Thu
16:00 | 12/05/2023
13:00 | 26/08/2022
09:00 | 09/08/2022
07:00 | 16/09/2024
Trước những cáo buộc liên quan đến việc hỗ trợ tội phạm tình dục bằng công nghệ deepfake, ứng dụng nhắn tin Telegram đang bị nhà chức trách Hàn Quốc tiến hành điều tra sơ bộ để làm rõ trách nhiệm.
13:00 | 27/08/2024
Ngân hàng Nhà nước Việt Nam ghi nhận gần đây có hiện tượng đối tượng lừa đảo, giả mạo giao diện hòm thư điện tử của Ngân hàng Nhà nước Việt Nam để gửi thông tin dẫn dụ người dân, khách hàng bấm vào đường link cập nhật thông tin sinh trắc học cho giao dịch ngân hàng.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
14:00 | 06/08/2024
Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
10:00 | 04/10/2024