Theo đó, CVE-2024-38856 là một lỗ hổng thực thi mã từ xa trước khi xác thực. Lỗ hổng này ảnh hưởng đến các phiên bản Apache OFBiz trước phiên bản 18.12.15, gây ra nguy cơ nghiêm trọng đối với bất kỳ tổ chức nào đang sử dụng các phiên bản phần mềm lỗi thời.
Nguyên nhân của lỗ hổng nằm trong cơ chế xác thực của Apache OFBiz. Cụ thể, lỗ hổng này cho phép người dùng chưa được xác thực truy cập vào các chức năng thường chỉ dành cho người dùng đã đăng nhập. Sau khi vào được hệ thống, kẻ tấn công có thể khai thác quyền truy cập này để thực thi mã tùy ý trên các hệ thống bị xâm phạm, điều này có thể dẫn đến việc chiếm quyền điều khiển toàn bộ hệ thống.
Lỗ hổng này nằm trong chức năng xem ghi đè của Apache OFBiz. Lỗ hổng nghiêm trọng này làm lộ các điểm cuối quan trọng đối với các kẻ tấn công chưa được xác thực, những người có thể khai thác lỗ hổng bằng cách gửi các yêu cầu được tạo đặc biệt.
Thêm vào sự cấp bách, các nhà nghiên cứu bảo mật đã công bố mã khai thác proof-of-concept (PoC) cho CVE-2024-38856. Việc mã PoC này có sẵn trên GitHub cung cấp một minh chứng cụ thể về cách khai thác lỗ hổng, làm cho việc tấn công trở nên dễ dàng hơn cho các tác nhân đe dọa.
CISA đã khuyến cáo các cơ quan liên bang và các tổ chức sử dụng Apache OFBiz nên cập nhật bản vá lên phiên bản 18.12.15 hoặc mới hơn. Việc không thực hiện các bản cập nhật này có thể để lại các hệ thống dễ bị tấn công, dẫn đến rủi ro về vi phạm dữ liệu, gián đoạn dịch vụ và các hậu quả nghiêm trọng khác.
M.H
14:00 | 09/09/2024
13:00 | 30/09/2024
14:00 | 02/10/2024
14:00 | 05/08/2024
10:00 | 02/10/2024
08:00 | 17/07/2024
10:00 | 04/10/2024
Kaspersky đang đối mặt với chỉ trích gay gắt sau khi bị phát hiện tự ý cài đặt phần mềm diệt virus khác lên máy tính của khách hàng tại Mỹ mà không thông báo trước.
14:00 | 09/09/2024
Lỗ hổng nghiêm trọng trên các thiết bị tường lửa của SonicWall có thể cho phép kẻ tấn công truy cập trái phép vào thiết bị.
11:00 | 03/09/2024
Google chính thức giới thiệu hai tính năng Gemini mới cho Gmail, tích hợp trí tuệ nhân tạo (AI) để hỗ trợ người dùng viết và chỉnh sửa email, cải thiện hiệu suất và chất lượng công việc.
09:00 | 26/07/2024
Theo thông tin trong báo cáo "Creative Economy Outlook 2024" tại Hội nghị Liên hợp quốc về thương mại và phát triển (UNCTAD), những năm gần đây trí tuệ nhân tạo (AI) đang tham gia vào quá trình nâng cao việc sáng tạo, phân phối và tiêu thụ nội dung khi tạo ra kịch bản, phim, nhạc, hình ảnh, phụ đề, hoạt hình và nội dung thực tế ảo, đồng thời cải thiện quy trình làm việc hậu kỳ và phân tích dữ liệu người dùng. Liên hợp quốc cho rằng, các nhà hoạch định chính sách cần theo dõi sự phát triển công nghệ, cập nhật khuôn khổ chính sách để nắm bắt cơ hội phát triển và giảm thiểu rủi ro.
Sự kiện Security Bootcamp 2024 diễn ra trong hai ngày 28 - 29/9 đã thu hút sự tham gia của đông đảo các chuyên gia, kỹ sư an ninh mạng hàng đầu và các lãnh đạo tổ chức, doanh nghiệp. Trong vai trò nhà tài trợ Bạc, Trellix cùng đồng tài trợ Mi2 JSC đã mang đến sự kiện những giải pháp bảo mật hiệu quả, tận dụng tối đa tiềm năng của AI trong bối cảnh trí tuệ nhân tạo đang phát triển như vũ bão.
16:00 | 04/10/2024