Apache heeft een kritieke kwetsbaarheid in ERP-oplossing OFBiz verholpen waardoor een ongeauthenticeerde aanvaller op afstand code op het ERP-systeem kan uitvoeren. Onlangs werden twee andere beveiligingslekken in OFBiz actief misbruikt bij aanvallen. OFBiz is een open source enterprise resource planning (ERP) systeem. Het biedt verschillende zakelijke applicaties voor het integreren en automatiseren van bedrijfsprocessen en wordt ontwikkeld door de Apache Software Foundation.

De nieuwste kwetsbaarheid, aangeduid als CVE-2024-45195, is een bypass voor eerdere patches die Apache voor drie kwetsbaarheden uitbracht (CVE-2024-32113, CVE-2024-36104 en CVE-2024-38856) en remote code execution mogelijk maken. "Gebaseerd op ons onderzoek zijn deze drie kwetsbaarheden eigenlijk dezelfde kwetsbaarheid met dezelfde oorzaak", zegt Ryan Emmons van securitybedrijf Rapid7 dat de nieuwste kwetsbaarheid ontdekte en dit aan Apache rapporteerde. De Apache Foundation werd op 16 augustus ingelicht en kwam afgelopen dinsdag met een update. Gebruikers worden opgeroepen om te updaten naar versie 18.12.16.