漏洞描述:
Apache OFBiz是一套企业资源计划(ERP)系统。它提供了广泛的功能,包括销售、采购、库存、财务、CRM等。 Apache OFBiz还具有灵活的架构和可扩展性,允许用户根据业务需求进行定制和拓展。 Apache OFBiz 是一个用 Java 编写的企业资源规划 (ERP) 系统,它是一个开放源代码、可扩展的企业级应用程序。 OFBiz 旨在为各种规模的企业提供全面的业务管理解决方案。 它包含大量的库、实体、服务和功能,覆盖了企业运营的各个方面,如销售、采购、库存、财务、人力资源等。
在Apache OFBiz 16.11.01到16.11.04中,OFBiz HTTP引擎(org.apache.ofbiz.service.engine.HttpEngine.java)通过/ webtools / control / httpService端点处理对HTTP服务的请求。对httpService端点的POST和GET请求都可能包含三个参数:serviceName,serviceMode和serviceContext。通过使DOCTYPE指向外部引用来触发从主机返回秘密信息的有效负载,从而实现利用。
复现过程:
1.exp下载
https://github.com/jamieparfet/Apache-OFBiz-XXE/
2.exp利用,读取/etc/passwd
python exploit.py -u http://ip:port -f /etc/passwd
借此漏洞,可以访问攻击者想要的敏感数据,包括配置文件、日志、源代码等信息,更加方便攻击者对网站进行渗透。
修复建议:
- 升级版本。
- 打补丁。