Goby漏洞发布 | CVE-2024-38856 Apache OFbiz /ProgramExport 命令执行漏洞【已复现】

于 2024-08-06 18:16:44 发布
阅读量157 收藏 2
点赞数 4
分类专栏: 红队版 漏洞 Goby 文章标签: CVE-2024-38856 Apache OFbiz 漏洞扫描 漏洞验证 漏洞复现 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/140960772
版权
Goby 同时被 3 个专栏收录
185 篇文章 31 订阅
订阅专栏
漏洞
134 篇文章 3 订阅
订阅专栏
红队版
114 篇文章 4 订阅
订阅专栏

漏洞名称:Apache OFbiz /ProgramExport 命令执行漏洞(CVE-2024-38856)

English Name:Apache OFbiz /ProgramExport Command Execution Vulnerability(CVE-2024-38856)


CVSS core: 9.0


漏洞描述:

Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。

Apache OFBiz在处理view视图渲染的时候存在逻辑缺陷,攻击者可通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码。

FOFA查询规则:

app=“Apache_OFBiz”

受影响资产数量: 2,728


受影响版本:

Apache OFBiz <= 18.12.14

解决方案:

厂商已发布了漏洞修复程序,请及时关注更新

漏洞检测工具:

【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞利用效果如图所示:
在这里插入图片描述

获取Goby:Goby-资产绘测及实战化漏洞扫描工具

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来...
CVE-2024-5491 和 CVE-2024-5的Citrix Netscaler/ADC-13.0- 92.31最新补丁
最新发布
08-02
针对 CVE-2024-5491 和 CVE-2024-5492 的 NetScaler ADC 和 NetScaler Gateway 安全公告 CVE-2024-5491 漏洞 拒绝服务,配置了 SNMP(启用了管理接口的 NSIP、CLIP 或 SNIP)的ADC 或网关设备。CVSS v4.0 基本分数:...
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1<Apache spark 版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
CVE-2024-5491 和 CVE-2024-5的Citrix Netscaler/ADC-14.1- 25.56最新补丁
08-02
针对 CVE-2024-5491 和 CVE-2024-5492 的 NetScaler ADC 和 NetScaler Gateway 安全公告 CVE-2024-5491 漏洞 拒绝服务,配置了 SNMP(启用了管理接口的 NSIP、CLIP 或 SNIP)的ADC 或网关设备。CVSS v4.0 基本分数:...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值