Goby漏洞更新 | Apache OFBiz xmlrpc 反序列化漏洞 (CVE-2020-9496)

最新推荐文章于 2023-12-12 00:57:30 发布
最新推荐文章于 2023-12-12 00:57:30 发布
阅读量178 收藏
点赞数
分类专栏: Goby 漏洞 红队版 文章标签: apache 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/129893333
版权
Goby 同时被 3 个专栏收录
182 篇文章 30 订阅
订阅专栏
漏洞
131 篇文章 3 订阅
订阅专栏
红队版
111 篇文章 3 订阅
订阅专栏

漏洞名称:Apache OFBiz xmlrpc 反序列化漏洞 (CVE-2020-9496)

English Name:Apache OFBiz xmlrpc Deserialization Vulnerability (CVE-2020-9496)

CVSS core: 9.8

漏洞描述:

Apache OFBiz 是一套足够灵活的业务应用程序,可用于任何行业。通用体系结构允许开发人员轻松扩展或增强它以创建自定义功能。
Apache OFBiz xmlrpc 处理接口存在反序列化漏洞,攻击者可以通过发送精心构造的反序列化数据,在目标服务器上执行任意代码,执行系统命令或打入内存马,获取服务器权限。

漏洞影响:

Apache OFBiz xmlrpc 处理接口存在反序列化漏洞,攻击者可以通过发送精心构造的反序列化数据,在目标服务器上执行任意代码,执行系统命令或打入内存马,获取服务器权限。

FOFA查询语句(点击直接查看结果):

cert=“Organizational Unit: Apache OFBiz” || (body=“www.ofbiz.org” && body=“/images/ofbiz_powered.gif”)

此漏洞已可在Goby漏扫/红队版进行扫描验证

免费获取Goby:Goby社区版免费下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xmlrpc.php 漏洞利用
墨痕诉清风的博客
10-10 7947
WordPress采用了接口.并且通过内置函数实现了该接口内容。所以,你可要通过客户端来管理Wordpress。通过使用WordPress XML-RPC, 你可以使用业界流行博客客户端来发布你的WordPress日志和页面。同时,XML-RPC 也可使用插件来自定义你的规则。
编码转换漏洞_APACHE OFBIZ XMLRPC远程代码执行漏洞分析
weixin_31994237的博客
12-29 426
概述近期,研究人员报告了一个存在于Apache OFBiz中的序列漏洞。这个漏洞是由多个Java序列问题所导致的,当代码在处理发送至/webtools/control/xmlrpc的请求时,便有可能触发该漏洞。未经认证的远程攻击者将能够通过发送精心构造的恶意请求来触发并利用该漏洞,并实现任意代码执行。漏洞分析Apache OFBiz是一个开源的企业资源规划(ERP)系统,它提供了...
WordPress XMLRPC安全漏洞
maverickpig的博客
01-23 4626
wordpress xmlrpc安全漏洞
CVE-2020-9496 Apache OFBiz XML-RPC序列漏洞复现
Shadow_DAI_990101的博客
08-23 2155
CVE-2020-9496 Apache OFBiz XML-RPC序列漏洞复现
xmlrpc.php 漏洞修复,CVE-2014-3668,CNNVD-201410-1339|PHP XMLRPC扩展缓冲区溢出漏洞 - 信息安全漏洞门户 VULHUB...
weixin_29055137的博客
03-26 312
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。XMLRPC是其中的一个用于实现XML-RPC协议的库。 PHP XMLRPC扩展中的libxmlrpc/xmlrpc.c脚本中mkgmtime实现过程中的‘date_from_ISO8...
CVE-2020-9496 ofbiz序列漏洞分析1
08-03
CVE-2020-9496 ofbiz序列漏洞分析 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、...
CVE-2021-26295 Apache OFBiz 序列漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 序列漏洞
CVE-2021-26295-Apache-OFBiz:CVE-2021-26295 Apache OFBiz rmi序列POC
03-25
CVE-2021-26295-Apache-OFBiz CVE-2021-26295 Apache OFBiz rmi序列POC需要将ysoserial.jar放置在目录下,并且不能使用java的高版本
ofbizApache OFBiz-主要开发已移至ofbiz-frameworks存储库
02-03
ApacheOFBiz:registered: 欢迎使用ApacheOFBiz:registered: ! 一个功能强大的顶级Apache软件项目。 OFBiz是用Java编写的企业资源计划(ERP)系统,并包含大量库,实体,服务和功能,以运行您的业务的各个方面。 ...
Apache OFBiz企业流程自动-其他
06-11
Apache OFBiz是用于企业流程自动的开源产品,包括ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和...
rainfall:WordPress XMLRPC 暴力破解工具
06-24
#WPiolt ================================================== ============================================== WPiolt - 通过 XML-RPC 的 Wordpress Bruteforce 工具。 基本版仅提供有限的功能。 开发人员:Andy Yang 版本:0.1.0 许可证:GPLv3 ================================================== ============================================== RainMak3r@Could: ~/桌面# ruby​​ WPiolt.rb -h 用法示例: ./WPilot.rb -t 'www.target.com' -d '/User/eve
wordpress博客遇到的那些坑(一)xmlrpc漏洞
weixin_33897722的博客
10-23 3013
2019独角兽企业重金招聘Python工程师标准>>> ...
Apache OFBiz XML-RPC远程代码执行漏洞(CVE-2023-49070)漏洞复现
qq_53733257的博客
12-11 1515
CVE-2023-49070 漏洞复现
泛微e-cology XmlRpcServlet文件读取漏洞复现
最新发布
0xSec
12-12 1026
泛微e-cology XmlRpcServlet接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
漏洞复现--Apache Ofbiz XML-RPC RCE(CVE-2023-49070)
qq_53003652的博客
12-07 1682
近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
Apache OfBiz 序列命令执行漏洞CVE-2020-9496)漏洞
weixin_48413667的博客
09-10 1112
一、软件介绍 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 二、漏洞描述 Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处序列漏洞
Wordpress xmlrpc.php暴力破解漏洞
weixin_33929309的博客
08-02 1112
2019独角兽企业重金招聘Python工程师标准>>> ...
漏洞分析|Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070)
xuandaoren的博客
12-08 818
这个函数里有两个关键的if语句,第一个if语句判断当前的path是不是等于/control/xmlrpc,第二个if语句判断body中是否包含</serializable,如果两个if语句都满足,则filter退出,不执行后续逻辑。我们先看CVE-2020-9496的补丁https://github.com/apache/ofbiz-framework/commit/d955b03fdc226d600d81d19d273e773f84b5c000。这个补丁的作用是为XML-RPC的接口增加鉴权。
WordPress xmlrpc.php 漏洞利用
xj28555的博客
05-15 3971
WordPress采用了XML-RPC接口.并且通过内置函数WordPress API实现了该接口内容。 所以,你可要通过客户端来管理Wordpress。 通过使用WordPress XML-RPC, 你可以使用业界流行博客客户端Weblog Clients来发布你的WordPress日志和页面。同时,XML-RPC 也可使用extended by WordPress Plugins插件来自定义你的规则。 0X01 激活XML-RPC 从3.5版本开始,XML-RPC功能默认开启。 早些版本,可通过.
CVE-2020-9496
08-31
- *1* *2* [CVE-2020-9496 Apache OFBiz XML-RPC序列漏洞复现](https://blog.csdn.net/Shadow_DAI_990101/article/details/126490894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值