Goby 漏洞发布| Apache OFBiz webtools/control/xmlrpc 远程代码执行漏洞(CVE-2023-49070)

最新推荐文章于 2024-09-06 21:50:59 发布
最新推荐文章于 2024-09-06 21:50:59 发布
阅读量290 收藏 1
点赞数
文章标签: 网络 apache 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/134855316
版权

漏洞名称: Apache OFBiz webtools/control/xmlrpc 远程代码执行漏洞(CVE-2023-49070)

English Name:Apache OFBiz webtools/control/xmlrpc Remote Code Execution Vulnerability (CVE-2023-49070)

CVSS core: 9.8

影响资产数: 5883

漏洞描述:

Apache OFBiz是一个开源的企业资源规划(ERP)系统,提供了多种商业功能和模块。Apache OFBiz 在 webtools/control/xmlrpc 存在反序列化代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。

FOFA查询语句(点击直接查看结果):

app=“Apache_OFBiz”

此漏洞已可在Goby漏扫/红队版进行扫描验证

在这里插入图片描述

下载Goby:Goby社区版下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
CVE-2023-49070Apache Ofbiz XML-RPC远程命令执行漏洞复现[附POC]
薛定谔嘚喵博客
01-11 535
由于Apache OFBiz XML-RPC存在历史的反序列化漏洞CVE-2020-9496)(未修复,XML-RPC官方不再维护),未经身份验证的恶意攻击者通过构造特殊请求,成功利用此漏洞可在目标服务器上执行任意代码,获取目标服务器的控制权限。
Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
0xSec
08-05 1028
2024年8月,互联网上披露Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的远程攻击者绕过原有通过特定URL绕过检测执行恶意代码安全机制。攻击者可能利用该漏洞执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache OFBiz XML-RPC远程代码执行漏洞(CVE-2023-49070)漏洞复现
qq_53733257的博客
12-11 1755
CVE-2023-49070 漏洞复现
Apache OFBiz中的XML-RPC问题
好记性不如烂笔头
06-20 1043
Apache OFBizXML-RPC反序列化漏洞CVE-2020-9496中,学习该知识点,并学习CVE-2023-49070如何绕过修复。顺便提一下Apache OFBiz最新的几个漏洞CVE-2023-51467、CVE-2024-32113和CVE-2024-36104。这部分内容不是XML-RPC的重点,但是既然存在逻辑连贯性,文章里就简单写一下。
漏洞复现--Apache Ofbiz XML-RPC RCE(CVE-2023-49070
qq_53003652的博客
12-07 1889
近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
Apache OfBiz 反序列化命令执行漏洞CVE-2023-49070
LJQClqjc的博客
12-13 618
Apache OFBiz 17.12.03版本及以前存在一处XMLRPC导致的反序列漏洞,官方于后续的版本中对相关接口进行加固修复漏洞,但修复方法存在绕过问题(CVE-2023-49070),攻击者仍然可以利用反序列化漏洞在目标服务器中执行任意命令。
漏洞复现-Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070)
玄道的网安博客
08-11 481
Apache XML-RPCXML-RPC 的 Java 实现,XML-RPC 是一种使用 XML over HTTP 来实现远程过程调用的协议。USERNAME=&PASSWORD=s&requirePasswordChange=Y绕过针对/control/xmlrpc的接口过滤限制(CVE-2020-9496),从而使用 Apache XMLRPC 客户端库的应用程序权限执行任意代码。所以,只要我们在发送XML-RPC请求的时候,将。这个补丁的作用是为XML-RPC的接口增加鉴权。
Apache OFBiz 远程代码执行漏洞复现(CVE-2024-45195)
最新发布
0xSec
09-06 615
2024年9月,互联网上披露了Apache OFBiz 远程代码执行漏洞(CVE-2024-45195),该漏洞允许未经身份验证的远程攻击者通过SSRF漏洞控制请求从而写入恶意文件。攻击者可能利用该漏洞执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache ofbiz RMI远程代码执行漏洞复现(CVE-2021-26295)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
04-19 1279
OFBiz介绍 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等,OFBiz 已经正式成为 Apache 的顶级项目: Apache OFBiz。 影响版本 apache:ofbiz:
Apache OFBiz系统ProgramExport接口存在远程命令执行漏洞CVE-2024-38856 附POC
nnn2188185的博客
08-07 179
Apache OFBiz系统ProgramExport接口存在远程命令执行漏洞CVE-2024-38856 附POC
Apache OFBiz 路径遍历导致RCE漏洞复现(CVE-2024-36104)
0xSec
06-04 1959
Apache OFBiz 18.12.14之前版本存在命令执行漏洞,该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径(请求URL中的特殊字符(如 ;、%2e)限制不当导致攻击者能够绕过后台功能点的过滤器验证,并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。
rainfall:WordPress XMLRPC 暴力破解工具
06-24
#WPiolt ================================================== ============================================== WPiolt - 通过 XML-RPC 的 Wordpress Bruteforce 工具。 基本版仅提供有限的功能。 开发人员:Andy Yang 版本:0.1.0 许可证:GPLv3 ================================================== ============================================== RainMak3r@Could: ~/桌面# ruby​​ WPiolt.rb -h 用法示例: ./WPilot.rb -t 'www.target.com' -d '/User/eve
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
离别歌
12-08 1148
最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞CVE-2020-9496),问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,...
CVE-2023-49070&&CVE-2020-9496 OFBIZ XML-RPC漏洞分析
zkaqlaoniao的博客
12-19 293
可以看到在XmlRpcRequestParser的节点解析中,前面几个默认是methodCall,methodName,params,param,这个处理过程是随着每次遍历标签进行的,当扫描完4个必须提供的标签后,会调用父类的。这里直接用yakit发,开始打半天没打通,后面才看到是解码错误,是百分号的问题,平常发base64习惯urlencode发,直接用原始的base64发包即可。进行处理,而typeParser就是在父类中完成赋值的,随后便通过不同的解析器进入不同的解析流程,还是会调用对应解析器的。
APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析
smellycat000的专栏
12-23 1328
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介相关的重点类和方法:org.apache.xmlrpc.parser.Serializabl...
Apache Ofbiz XMLRPC RCE漏洞CVE-2020-9496)复现
玄道的网安博客
12-26 911
简介 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 影响版本 Apache Ofbiz:< 17.12.04 环境搭建 docker pull andy..
泛微e-cology XmlRpcServlet文件读取漏洞复现
0xSec
12-12 1109
泛微e-cology XmlRpcServlet接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
Goby漏洞更新 Apache OFBiz xmlrpc 反序列化漏洞 (CVE-2024-9496)_apache ofbiz xml-rpc反序列化漏洞
2401_84247505的博客
04-17 336
Apache OFBiz xmlrpc 处理接口存在反序列化漏洞,攻击者可以通过发送精心构造的反序列化数据,在目标服务器上执行任意代码执行系统命令或打入内存马,获取服务器权限。Apache OFBiz xmlrpc 处理接口存在反序列化漏洞,攻击者可以通过发送精心构造的反序列化数据,在目标服务器上执行任意代码执行系统命令或打入内存马,获取服务器权限。T行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Apache OFBiz实战指南:60个提升控制力的实用菜谱
"Apache OFBiz Cookbook Sep 2010" 是一本针对开源企业资源规划(ERP)平台Apache OFBiz的专业指南,由 Ruth Hoffman 所著。这本书主要面向那些有一定OFBiz基础,但可能在实际操作过程中遇到困惑的读者,通过提供超过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值