Apache OFBiz路径遍历漏洞(CVE-2024-36104)

最新推荐文章于 2024-06-06 17:39:20 发布
最新推荐文章于 2024-06-06 17:39:20 发布
阅读量321 收藏
点赞数 10
分类专栏: 漏洞复现 文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WuYSec/article/details/139469803
版权

0x01 漏洞描述

Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

Apache OFBiz 18.12.14之前版本存在命令执行漏洞 ,该漏洞源于ControlFilter对路径限制不当导致用户能够访问ProgramExport导出功能执行Groovy代码。

0x02 影响版本

Apache OFBiz < 18.12.14

0x03 FoFa语句

app="Apache_OFBiz"

0x04 漏洞复现

知识星球

无垠Sec专注安全研究,包括但不限于代码审计、漏洞挖掘、思路分享等。目前仅需50,你就能得到常见系统1day漏洞POC、代码审计、漏洞分析、漏洞挖掘等

WuY1nSec
关注
  • 10
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache OFBiz 路径遍历导致RCE漏洞复现(CVE-2024-36104
0xSec
06-04 1805
Apache OFBiz 18.12.14之前版本存在命令执行漏洞,该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径(请求URL中的特殊字符(如 ;、%2e)限制不当导致攻击者能够绕过后台功能点的过滤器验证,并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
离别歌
12-08 1082
最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞CVE-2020-9496),问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,...
Catalyze安全知识库
mashiro_hibiki的博客
05-21 319
高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具,团队内部漏洞库,内外网攻防技巧,你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。分享行业内最新动态,解答交流各类技术问题。涉及方向包括Web渗透、免杀绕过、红蓝攻防、代码审计、应急响应、安全培训、CTF、小白入门、职业规划和疑难解答。
CVE-2024-36104 Apache OFBiz路径遍历RCE漏洞复现(附POC)
mashiro_hibiki的博客
06-05 552
高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具,团队内部漏洞库,内外网攻防技巧,你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。,安全技术水平的催化者,星球针对成员的技术问题,快速提供思考方向及解决方案,并为星友提供多种方向的学习资料、安全工具、POC&EXP以及各种学习笔记等,以引导者和催化剂的方式助力安全技术水平的提升。Apache_OFBiz是一套基于通用架构的企业应用程序,使用通用数据,逻辑和流程组件。
【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告
最新发布
smellycat000的专栏
06-06 153
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 路径遍历漏洞漏洞编号QVD-2024-21464,CVE-2024-36104公开时间2024-06-02影响量级万级奇安信评级高危CVSS 3.1分数9.8威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态已公开技术细节状态已公开危害描述:未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访...
VMware Tools本地提权漏洞CVE-2022-31676分析与复现
Button12138的博客
01-31 1024
VMware Tools本地提权漏洞CVE-2022-31676分析与复现
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 602
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
CVE-2021-26295-Apache-OFBiz:CVE-2021-26295 Apache OFBiz rmi反序列化POC
03-25
CVE-2021-26295-Apache-OFBiz CVE-2021-26295 Apache OFBiz rmi反序列化POC需要将ysoserial.jar放置在目录下,并且不能使用java的高版本
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
CVE-2020-9496 ofbiz反序列化漏洞分析 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、...
Apache OFBiz企业流程自动化-其他
06-11
Apache OFBiz是用于企业流程自动化的开源产品,包括ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和...
magento:Magento 与 Apache OFBiz 集成,兼容 OFBiz-13.07 和主干
07-08
Magento 与 Apache OFBiz 集成,兼容 OFBiz-13.07 和主干 在 Apache OFBiz-13.07 和 OFBiz 主干中使用磁电机组件的步骤 启动终端并进入 Apache OFBiz 的主目录 在热部署文件夹中签出 magento 组件 使用命令加载数据...
漏洞复现--Apache Ofbiz XML-RPC RCE(CVE-2023-49070)
qq_53003652的博客
12-07 1715
近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
2024】Linux漏洞修复合集
slience_me的博客
01-03 3396
2024 Linux漏洞修复合集
用友U8 CRM swfupload 任意文件上传漏洞复现(XVE-2024-8597)
qq_39894062的博客
04-20 656
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
腾讯安全威胁情报中心推出2023年12月必修安全漏洞清单
weixin_42803243的博客
01-16 1437
它提供了一套全面的业务解决方案,包括电子商务,客户关系管理,仓库管理,订单管理,库存管理等功能。腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2023-28231(CVE编号:CVE-2023-51467,CNNVD编号:CNNVD-202312-2291)。腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2023-28224(CVE编号:CVE-2023-50968,CNNVD编号:CNNVD-202312-2286)。
漏洞复现】Apache OFBiz远程代码执行漏洞CVE-2023-51467)
weixin_45530380的博客
12-28 1343
【代码】【漏洞复现】Apache OFBiz远程代码执行漏洞CVE-2023-51467)
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496)漏洞
weixin_48413667的博客
09-10 1114
一、软件介绍 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 二、漏洞描述 Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞
Apache OFBiz远程代码执行漏洞通告
爱国小白帽
05-01 593
报告编号:B6-2021-042801 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-28 1 漏洞简述 2021年04月28日,360CERT监测发现Apache OFBiz发布了漏洞风险通告,共包含2个漏洞漏洞编号分别为CVE-2021-29200,CVE-2021-30128,漏洞等级:严重,漏洞评分:9.8。 OFBiz是一个非常著名的电子商务平台,其提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子
CVE-2020-9496
08-31
CVE-2020-9496是Apache Ofbiz组件中的一个漏洞。根据引用和引用的内容,该漏洞被评级为高危,漏洞评分为8.0。这个漏洞的具体细节和复现可以参考引用中的文章。根据引用的内容,该漏洞是通过利用Apache Ofbiz中的XMLRPC RCE漏洞来实现的。具体的复现过程可以参考引用中提供的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现](https://blog.csdn.net/Shadow_DAI_990101/article/details/126490894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析](https://blog.csdn.net/weixin_45728976/article/details/108872281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值