Los desarrolladores de Apache Software Foundation reportaron el lanzamiento de un parche para CVE-2021-26295, una vulnerabilidad cuya explotación exitosa podría permitir a los actores de amenazas no autenticados tomar control completo del sistema ERP en Apache OFBiz. La falla fue descrita como un error de deserialización insegura, que ocurre cuando se pueden usar datos con formato incorrecto para abusar de la lógica de una aplicación, derivando en serias fallas en el servicio e incluso a una condición de denegación de servicio (DoS).
Cabe señalar que Apache OFBiz es un sistema de planificación de recursos empresariales (ERP) de código abierto que proporciona un conjunto de aplicaciones empresariales que integran y automatizan muchos de los procesos comerciales de una empresa.
Por su parte, la falla de deserialización insegura reside en las versiones anteriores al 17.12.06, y podría permitir que atacantes remotos no autorizados ejecuten código arbitrario en el servidor y potencialmente se apoderen del sistema ERP de código abierto.
Al respecto, el investigador de ciberseguridad Jacques Le Roux mencionó: “Apache OFBiz tiene deserialización insegura antes del 17.12.06. Un atacante no autenticado puede utilizar esta vulnerabilidad para tomar control de Apache OFBiz.”
La falla fue reportada por un grupo de investigadores conocidos como “r00t4dm”, de Cloud-Penetrating Arrow Lab, “MagicZero” de SGLAB de Legendsec en Qi’anxin Group y “Longofo” en Knownsec 404 Team. Por seguridad, se recomienda a los administradores de implementaciones vulnerables actualizar a la última versión disponible (17.12.06) tan pronto como sea posible.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.