Разработчики Apache Software Foundation устранили уязвимость в Apache OFBiz, которая могла позволить неаутентифицированному злоумышленнику удаленно захватить контроль над уязвимой опенсорсной ERP-системой (Enterprise Resource Planning, планирование ресурсов предприятия).
OFBiz представляет собой платформу на основе Java, предназначенную для автоматизации корпоративных различных процессов. Платформа предлагает широкий спектр функций, включая, к примеру, бухгалтерский учет, управление взаимоотношениями с клиентами, управление производственными операциями, управление заказами, контроль цепочки поставок и систему управления складом.
Уязвимость получила идентификатор CVE-2021-26295 и затрагивает все версии OFBiz вплоть до 17.12.06. Проблема связана с небезопасной десериализацией и позволяет неавторизованным удаленным злоумышленникам напрямую выполнять произвольный код на сервере.
Разработчики пояснили, что атакующий может изменить сериализованные данные, внедрив в них произвольный код, в итоге при десериализации это может привести к удаленному выполнению данного кода. То есть баг может использоваться полного захвата контроля над Apache OFBiz.
