Especialistas en ciberseguridad han revelado la presencia de dos vulnerabilidades críticas en Apache OFBiz, software de automatización de código abierto desarrollado por Apache Foundation. La explotación de estas vulnerabilidades podría conducir a escenarios como la falsificación de solicitudes entre sitios (CSRF) y la inyección CLRF.
A continuación se presenta una breve explicación de las vulnerabilidades encontradas, además de sus respectivas claves del Common Vulnerability Scoring System (CVSS). Si bien estos son errores de seguridad críticos, la buena noticia es que el proveedor ya ha lanzado los parches de seguridad correspondientes, por lo que los administradores de implementaciones afectadas sólo deben descargar las actualizaciones de las plataformas oficiales.
CVE-2019-12425: Esta vulnerabilidad permite que un actor de amenazas remoto esquive las restricciones de seguridad implementadas en el sistema objetivo. La vulnerabilidad existe debido a que Apache OFBiz es vulnerable a la inyección de encabezado HOST.
Un atacante remoto no autenticado puede enviar una solicitud HTTP especialmente diseñada a la aplicación y evitar las restricciones de seguridad implementadas por el administrador. La falla está presente en Apache OFBiz v17.12.01. Aunque la falla puede ser explotada de forma remota, se desconoce si existe algún exploit disponible públicamente.
CVE-2019-0235: Esta es una vulnerabilidad que permite a los hackers maliciosos remotos desplegar ataques de falsificación de solicitudes entre sitios (CSRF). La falla de seguridad existe debido a una validación insuficiente del origen de la solicitud HTTP. Un actor de amenazas remoto puede engañar a la víctima para que visite una página web especialmente diseñada y realice acciones arbitrarias suplantando a la víctima en el sitio web vulnerable.
La vulnerabilidad está presente en Apache OFBiz v17.12.01. Esta vulnerabilidad puede ser explotada por un atacante remoto no autenticado a través de Internet, aunque no se ha detectado la existencia de algún malware capaz de explotar esta falla.
Por el momento no se conocen soluciones alternativas funcionales para mitigar el riesgo de explotación de estas vulnerabilidades, por lo que los especialistas en ciberseguridad recomiendan la instalación de las correcciones oficiales tan pronto como sea posible.
Para mayor información sobre estos inconvenientes y más temas de seguridad informática afectando a estos productos, puede buscar en las plataformas oficiales de Apache y sus múltiples desarrollos.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.