9月4日Apache基金会发布ERP系统OFBiz新版18.12.16，当中修补重大层级漏洞CVE-2024-45195（CVSS风险评分为9.8），通报此事的研究人员近日公布相关细节。

资安业者Rapid7指出，透过这项漏洞，未经授权的攻击者能够从远端连至Windows或Linux电脑执行任意程序码，原因是网页应用程序缺乏检视授权查核机制造成。

研究人员特别提及，这项漏洞与Apache基金会先前修补的CVE-2024-32113、CVE-2024-36104、CVE-2024-38856（CVSS风险评分为9.1至9.8），发生的根本原因相同，都是控制器与检视图解失去同步能力造成，而能让攻击者有机会在未通过身分验证的情况下，执行SQL查询或是特定程序码，从而达到远端执行程序码攻击的目的。

值得留意的是，上述漏洞已有部分出现实际攻击行动。其中在今年5月公布的CVE-2024-32113，8月美国网路安全暨基础设施安全局（CISA）加入已被利用的漏洞名册（KEV），SANS网路风暴中心研究人员指出，攻击者将其用来散布殭尸网路病毒OFBiz，因此，很有可能接下来也会有骇客尝试利用CVE-2024-45195。

由于CVE-2024-45195能够绕过Apache基金会针对CVE-2024-32113、CVE-2024-36104、CVE-2024-38856修补的程序码，IT人员若不处理，潜藏的危险有可能会超过这些漏洞。