idNSA.id - Apache Software Foundation telah membahas kerentanan dengan tingkat keparahan yang tinggi di Apache OFBiz yang dapat memungkinkan pengguna yang tidak diautentikasi untuk mengambil alih kendali dari system open-source enterprise resource planning (ERP) dari jarak jauh.
Dilacak sebagai CVE-2021-26295 , cacat tersebut memengaruhi semua perangkat lunak sebelum versi 17.12.06 dan menggunakan "deserialisasi tidak aman" sebagai vektor serangan untuk mengizinkan penyerang jarak jauh yang tidak sah menjalankan kode arbitrer di server secara langsung.
OFBiz adalah web framework berbasis Java untuk mengotomatiskan proses perusahaan dan menawarkan berbagai fungsi, antara lain akuntansi, manajemen hubungan pelanggan, manajemen operasi manufaktur, manajemen pesanan, pemenuhan rantai pasokan, dan sistem manajemen gudang.
Secara khusus, dengan mengeksploitasi kelemahan ini, pihak yang berniat jahat dapat merusak data berseri untuk memasukkan kode arbitrer yang, jika dideserialisasi, berpotensi mengakibatkan eksekusi kode jarak jauh.
"Seorang penyerang yang tidak berkepentingan dapat menggunakan celah ini untuk berhasil mengambil alih Apache OFBiz," pengembang OFBiz Jacques Le Roux.
Deserialisasi yang tidak aman telah menjadi sumber integritas data dan masalah keamanan lainnya, dengan Open Web Application Security Project (OWASP) mencatat bahwa "data yang tidak tepercaya tidak dapat dipercaya untuk dibentuk dengan baik, [dan] data yang cacat atau data yang tidak terduga dapat terjadi digunakan untuk menyalahgunakan logika aplikasi, menolak layanan, atau mengeksekusi kode arbitrer, saat deserialized. "
Direkomendasikan untuk meningkatkan Apache OFBiz ke versi terbaru (17.12.06) untuk mengurangi risiko yang terkait dengan cacat tersebut.
