Theo đó, CVE-2024-38856 là một lỗ hổng thực thi mã từ xa trước khi xác thực. Lỗ hổng này ảnh hưởng đến các phiên bản Apache OFBiz trước phiên bản 18.12.15, gây ra nguy cơ nghiêm trọng đối với bất kỳ tổ chức nào đang sử dụng các phiên bản phần mềm lỗi thời.
Nguyên nhân của lỗ hổng nằm trong cơ chế xác thực của Apache OFBiz. Cụ thể, lỗ hổng này cho phép người dùng chưa được xác thực truy cập vào các chức năng thường chỉ dành cho người dùng đã đăng nhập. Sau khi vào được hệ thống, kẻ tấn công có thể khai thác quyền truy cập này để thực thi mã tùy ý trên các hệ thống bị xâm phạm, điều này có thể dẫn đến việc chiếm quyền điều khiển toàn bộ hệ thống.
Lỗ hổng này nằm trong chức năng xem ghi đè của Apache OFBiz. Lỗ hổng nghiêm trọng này làm lộ các điểm cuối quan trọng đối với các kẻ tấn công chưa được xác thực, những người có thể khai thác lỗ hổng bằng cách gửi các yêu cầu được tạo đặc biệt.
Thêm vào sự cấp bách, các nhà nghiên cứu bảo mật đã công bố mã khai thác proof-of-concept (PoC) cho CVE-2024-38856. Việc mã PoC này có sẵn trên GitHub cung cấp một minh chứng cụ thể về cách khai thác lỗ hổng, làm cho việc tấn công trở nên dễ dàng hơn cho các tác nhân đe dọa.
CISA đã khuyến cáo các cơ quan liên bang và các tổ chức sử dụng Apache OFBiz nên cập nhật bản vá lên phiên bản 18.12.15 hoặc mới hơn. Việc không thực hiện các bản cập nhật này có thể để lại các hệ thống dễ bị tấn công, dẫn đến rủi ro về vi phạm dữ liệu, gián đoạn dịch vụ và các hậu quả nghiêm trọng khác.
M.H
14:00 | 09/09/2024
13:00 | 30/09/2024
14:00 | 02/10/2024
14:00 | 05/08/2024
10:00 | 02/10/2024
08:00 | 17/07/2024
15:00 | 30/09/2024
Dell đang tiến hành điều tra sau khi một tin tặc tuyên bố đã đánh cắp dữ liệu nhân viên của công ty.
13:00 | 21/08/2024
Microsoft thông báo rằng ứng dụng đồ họa Paint 3D sẽ ngừng hoạt động vào cuối năm nay và sẽ bị xóa khỏi Microsoft Store vào tháng 11.
19:00 | 09/07/2024
Ngày 08/7/2024, Viện Công nghệ Blockchain và Trí tuệ nhân tạo (ABAII) - đơn vị trực thuộc Hiệp hội Blockchain Việt Nam đã cùng Công ty Luật Nam Hà, CTCP DecomStars phối hợp với UBND Phường 13, Quận Bình Thạnh, TP.Hồ Chí Minh tổ chức buổi giới thiệu và tập huấn sử dụng ứng dụng “AI tra cứu luật” cho toàn thể đội ngũ cán bộ, công chức tại trụ sở UBND Phường.
15:00 | 21/05/2024
TikTok có kế hoạch bắt đầu dán nhãn hình ảnh và video được tải lên dịch vụ chia sẻ video được tạo bằng trí tuệ nhân tạo, bằng cách sử dụng hình mờ kỹ thuật số được gọi là Thông tin xác thực nội dung.
Trong cuộc gặp với Tổng Bí thư, Chủ tịch nước Tô Lâm tại New York vào ngày 25/9, Tim Hughes, Phó Chủ tịch cấp cao của SpaceX, tập đoàn hàng đầu thế giới cung cấp dịch vụ tàu vũ trụ, phóng vệ tinh và truyền thông vệ tinh đã đánh giá cao tiềm năng phát triển dịch vụ Internet vệ tinh tại Việt Nam và cho biết dự định đầu tư 1,5 tỷ USD vào Việt Nam trong thời gian tới.
10:00 | 01/10/2024