La Apache Software Foundation abordó el viernes una vulnerabilidad de alta gravedad en Apache OFBiz que podría haber permitido que un adversario no autenticado tomara de forma remota el control del sistema de planificación de recursos empresariales (ERP) de código abierto.

Rastreada como CVE-2021-26295, la falla afecta a todas las versiones del software anteriores al 17.12.06 y emplea una «deserialización insegura» como vector de ataque para permitir que atacantes remotos no autorizados ejecuten código arbitrario en un servidor directamente.

OFBiz es un marco web basado en Java para automatizar procesos empresariales y ofrece una amplia gama de funcionalidades, que incluyen contabilidad, gestión de relaciones con clientes, gestión de operaciones de fabricación, gestión de pedidos, cumplimiento de la cadena de suministro y sistema de gestión de almacenes, entre otros.

Específicamente, al explotar esta falla, una parte malintencionada puede alterar los datos serializados para insertar código arbitrario que, cuando se deserializa, puede potencialmente resultar en la ejecución remota de código.

«Un atacante no autenticado puede usar esta vulnerabilidad para apoderarse con éxito de Apache OFBiz», señaló el desarrollador de OFBiz, Jacques Le Roux.

La deserialización insegura ha sido una fuente de integridad de datos y otros problemas de seguridad, y el Proyecto de seguridad de aplicaciones web abiertas (OWASP) señaló que «no se puede confiar en que los datos que no son de confianza estén bien formados, [and that] los datos mal formados o los datos inesperados podrían usarse para abusar de la lógica de la aplicación, denegar el servicio o ejecutar código arbitrario, cuando se deserializan».

r00t4dm en Cloud-Penetrating Arrow Lab, MagicZero de SGLAB of Legendsec en Qi’anxin Group y Longofo en Knownsec 404 Team han sido acreditados por informar la vulnerabilidad.

Se recomienda actualizar Apache OFBiz a la última versión (17.12.06) para mitigar el riesgo asociado con la falla.