Foi descoberta uma nova falha de segurança zero day no Apache OfBiz, um sistema de Planejamento de Recursos Empresariais (ERP) de código aberto, que pode ser explorada para contornar as proteções de autenticação.

A vulnerabilidade, rastreada como CVE-2023-51467, reside na funcionalidade de login e é resultado de um patch incompleto para outra vulnerabilidade crítica (CVE-2023-49070, pontuação CVSS: 9.8) que foi lançada no início deste mês.

A CVE-2023-49070 refere-se a uma falha de execução remota de código pré-autenticado que afeta versões anteriores à 18.12.10 e, quando explorada com sucesso, pode permitir que atores de ameaças ganhem controle total sobre o servidor e sifonem dados sensíveis.

É causada devido a um componente XML-RPC obsoleto dentro do Apache OFBiz. De acordo com a SonicWall, a CVE-2023-51467 pode ser acionada usando parâmetros USERNAME e PASSWORD vazios e inválidos em uma solicitação HTTP para retornar uma mensagem de sucesso de autenticação, efetivamente contornando a proteção e permitindo que um ator de ameaças acesse recursos internos não autorizados.