Lỗ hổng được gắn mã định danh CVE-2024-45195 với điểm CVSS là 7.5, ảnh hưởng đến tất cả các phiên bản Apache OFBiz trước phiên bản 18.12.16. Điều này đồng nghĩa với việc kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã tùy ý mà không cần có thông tin xác thực hợp lệ. Cụ thể, lỗ hổng khai thác sự thiếu sót trong kiểm tra quyền truy cập của ứng dụng web, cho phép tin tặc thực thi mã trên máy chủ.
Bản vá mới nhất của Apache OFBiz đã khắc phục vấn đề này bằng cách “xác thực rằng quyền truy cập ẩn danh chỉ được phép khi người dùng chưa được xác thực, thay vì dựa trên các kiểm tra bộ điều khiển mục tiêu”. Phiên bản 18.12.16 cũng bao gồm bản vá cho một lỗ hổng nghiêm trọng khác là CVE-2024-45507 (điểm CVSS: 9.8), một dạng làm giả yêu cầu phía máy chủ (SSRF) có thể bị lợi dụng để truy cập trái phép và tấn công hệ thống thông qua các URL được tạo đặc biệt.
Với việc khắc phục các lỗ hổng này, phiên bản mới của Apache OFBiz đã cải thiện đáng kể khả năng bảo mật và giảm thiểu rủi ro cho các doanh nghiệp sử dụng phần mềm này.
Hồng Quân
16:00 | 12/05/2023
10:00 | 31/12/2024
13:00 | 26/08/2022
09:00 | 09/08/2022
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
09:00 | 16/10/2024
Các nhà nghiên cứu của hãng bảo mật Zscaler (Mỹ) đã phân tích một biến thể mới của Copybara, một họ phần mềm độc hại Android xuất hiện vào tháng 11/2021. Copybara là một Trojan chủ yếu lây nhiễm thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing), trong đó nạn nhân nhận được hướng dẫn qua điện thoại để cài đặt phần mềm độc hại Android. Bài viết sẽ phân tích về biến thể mới của Copybara dựa trên báo cáo của Zscaler.
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
13:00 | 13/01/2025